{"id":1888,"date":"2026-04-24T13:36:18","date_gmt":"2026-04-24T13:36:18","guid":{"rendered":"https:\/\/www.pickplace.de\/?post_type=glossary&#038;p=1888"},"modified":"2026-04-24T13:36:19","modified_gmt":"2026-04-24T13:36:19","slug":"tampering","status":"publish","type":"glossary","link":"https:\/\/www.pickplace.de\/en\/glossar\/tampering\/","title":{"rendered":"Tampering"},"content":{"rendered":"<p>Tampering beschreibt die unautorisierte Manipulation von Systemen, Daten oder laufenden Kommunikationsvorg&#xE4;ngen. Tampering ist ein Angriff auf Bussysteme und Peripherie und daher im Kontext <a href=\"https:\/\/www.pickplace.de\/embedded-systems-cyber-security\/\" data-type=\"page\" data-id=\"954\">Embedded Cyber Security<\/a> relevant. Im Embedded-Umfeld betrifft dies nicht nur Software oder gespeicherte Inhalte, sondern h&#xE4;ufig auch die Kommunikation zwischen Steuerger&#xE4;ten, Sensoren, Aktoren und vernetzten Subsystemen. Da viele Funktionen direkt von einem fehlerfreien Datenaustausch abh&#xE4;ngen, kann bereits ein gezielter Eingriff erhebliche Auswirkungen auf das Gesamtsystem haben.<\/p>\n\n\n\n<div class=\"wp-block-rank-math-toc-block\" id=\"rank-math-toc\"><h2>Inhalt<\/h2><nav><ul><li class=\"\"><a href=\"#technischer-hintergrund-vom-tampering\">Technischer Hintergrund vom Tampering<\/a><ul><li class=\"\"><a href=\"#beiop\">Beispiel CAN Bus<\/a><\/li><li class=\"\"><a href=\"#experimenteller-setup\">Experimenteller Setup<\/a><\/li><li class=\"\"><a href=\"#folgen-von-tampering\">Folgen von Tampering<\/a><\/li><\/ul><\/li><li class=\"\"><a href=\"#gegenmassnahmen\">Gegenma&#xDF;nahmen<\/a><ul><li class=\"\"><a href=\"#hardware-basierte-gegenmassnahmen\">Hardware-basierte Gegenma&#xDF;nahmen<\/a><\/li><li class=\"\"><a href=\"#beispiel-can-bus\">Anwendungsbeispiel CAN Bus<\/a><\/li><\/ul><\/li><li class=\"\"><a href=\"#zusammenfassung\">Zusammenfassung<\/a><\/li><\/ul><\/nav><\/div>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"technischer-hintergrund-vom-tampering\">Technischer Hintergrund vom Tampering<\/h2>\n\n\n\n<p>Embedded-Systeme arbeiten in zahlreichen Anwendungen verteilt. Einzelne Komponenten tauschen fortlaufend Statusinformationen, Messwerte, Steuerbefehle oder Diagnoseinformationen aus. Wird diese Kommunikation gest&#xF6;rt oder manipuliert, entstehen nicht nur Datenfehler, sondern auch Verz&#xF6;gerungen, Fehlzust&#xE4;nde oder Funktionsausf&#xE4;lle. <\/p>\n\n\n\n<p>Tampering kann an unterschiedlichen Stellen stattfinden. M&#xF6;glich sind Eingriffe in Firmware, Konfigurationsdaten oder Speicherinhalte. Besonders relevant ist jedoch die Manipulation w&#xE4;hrend der &#xDC;bertragung selbst. Dabei wird nicht zwingend der eigentliche Nutzdatenwert ver&#xE4;ndert. Bereits das gezielte St&#xF6;ren eines g&#xFC;ltigen Kommunikationsablaufs kann ausreichen, um Nachrichten unbrauchbar zu machen.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"beiop\">Beispiel CAN Bus<\/h3>\n\n\n\n<p>Ein typisches Beispiel daf&#xFC;r ist der CAN Bus. Dieses Bussystem wird breit in Industrie, Automotive, Nutzfahrzeugen, Wehrtechnik und Maschinenbau eingesetzt. Mehrere Teilnehmer nutzen eine gemeinsame Leitung und kommunizieren nach festen Protokollregeln. Wer physischen Zugriff auf den Bus besitzt und das Timing beherrscht, kann in eine laufende &#xDC;bertragung eingreifen.<\/p>\n\n\n\n<p>Wird w&#xE4;hrend einer legitimen CAN-Nachricht an einer kritischen Stelle dominant auf die Leitung geschaltet, erkennen andere Teilnehmer einen Protokollfehler. Die Nachricht wird verworfen und muss erneut &#xFC;bertragen werden. Wiederholen sich solche Eingriffe, steigen Fehlerz&#xE4;hler in den Steuerger&#xE4;ten an, Teilnehmer wechseln in eingeschr&#xE4;nkte Betriebszust&#xE4;nde und die Stabilit&#xE4;t des Netzwerks nimmt ab. Der eigentliche Payload kann dabei unver&#xE4;ndert bleiben. Manipuliert wird der Ablauf der Kommunikation.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"experimenteller-setup\">Experimenteller Setup<\/h3>\n\n\n\n<p>Tampering kann gu an einem experimentellen Aufbau erkl&#xE4;rt werden. Der experimentelle Aufbau besteht aus einem legitimen CAN-Knoten, einem Intruder-Knoten und einem gemeinsamen CAN-Bus. Der legitime Knoten sendet periodisch g&#xFC;ltige CAN-Frames mit einer h&#xF6;heren Arbitration ID. Diese Nachrichten bilden den normalen Busverkehr und dienen als Ziel der Manipulation.<\/p>\n\n\n\n<p>Der Intruder-Knoten ist anders aufgebaut als ein regul&#xE4;rer CAN-Teilnehmer. Er verwendet nicht seinen CAN-Controller zur Erzeugung g&#xFC;ltiger CAN-Frames, sondern umgeht die CAN-Peripherie. Stattdessen greift er &#xFC;ber GPIO-Pins direkt auf die Busansteuerung zu. Dadurch kann er zu exakt definierten Zeitpunkten dominante Bits auf den Bus legen.<\/p>\n\n\n\n<p>Der Angriff basiert auf einer zeitlichen Synchronisation mit der laufenden &#xDC;bertragung. Sobald der Intruder den Start of Frame erkennt, nutzt er diesen Zeitpunkt als Referenz. Anschlie&#xDF;end wartet er den berechneten Offset bis zum End-of-Frame-Feld ab. Dort injiziert er dominante Bits auf den Bus.<\/p>\n\n\n\n<p>Da das EOF-Feld im CAN-Protokoll aus rezessiven Bits bestehen muss, f&#xFC;hrt dieser Eingriff zu einem Protokollfehler. Die laufende Nachricht wird dadurch nicht inhaltlich ver&#xE4;ndert, sondern ung&#xFC;ltig gemacht. Ziel des Aufbaus ist es, zu zeigen, dass ein Angreifer mit direktem Zugriff auf die physikalische Ebene eine g&#xFC;ltige CAN-&#xDC;bertragung w&#xE4;hrend der Aussendung gezielt besch&#xE4;digen kann.<\/p>\n\n\n\n<div class=\"wp-block-stackable-image stk-block-image stk-block stk-cc536ef\" data-block-id=\"cc536ef\"><style>.stk-cc536ef .stk-img-figcaption{text-align:center !important;font-style:italic !important;}<\/style><figure><span class=\"stk-img-wrapper stk-image--shape-stretch\"><img loading=\"lazy\" decoding=\"async\" class=\"stk-img wp-image-1890\" src=\"https:\/\/www.pickplace.de\/wp-content\/uploads\/2026\/04\/tampering-experiment.jpeg\" width=\"1531\" height=\"752\" alt=\"Tampering auf CAN-Frame-Niveau, Injektion eines Error Frames am EOF-Bit\"\/><\/span><figcaption class=\"stk-img-figcaption\">Tampering auf CAN-Frame-Niveau, Injektion eines Error Frames am EOF-Bit<\/figcaption><\/figure><\/div>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"folgen-von-tampering\">Folgen von Tampering<\/h3>\n\n\n\n<p>F&uuml;r Embedded-Systeme ist das besonders kritisch, weil viele Funktionen zeitabh&auml;ngig arbeiten. Verz&ouml;gerte Telegramme, ausbleibende R&uuml;ckmeldungen oder gest&ouml;rte Synchronisation k&ouml;nnen Steuerketten unterbrechen. In verteilten Architekturen betrifft dies oft nicht nur ein einzelnes <a class=\"glossaryLink\"  aria-describedby=\"tt\"  data-cmtooltip=\"cmtt_cd9f113f1bb5dca381349f2669b4bf21\"  href=\"https:\/\/www.pickplace.de\/glossar\/steuergeraet\/\"  data-gt-translate-attributes='[{\"attribute\":\"data-cmtooltip\", \"format\":\"html\"}]' tabindex='0' role='link'>Steuerger&auml;t<\/a>, sondern mehrere abh&auml;ngige Funktionen gleichzeitig.<\/p>\n\n\n\n<p>Schutz gegen Tampering beginnt daher nicht erst bei der Software. Wichtig sind kontrollierter physischer Zugriff auf interne Bussysteme, abgesicherte Service- und Debug-Schnittstellen, saubere Netzsegmentierung sowie Gateways zwischen unterschiedlichen Kommunikationszonen. Erg&#xE4;nzend kommen &#xDC;berwachungsmechanismen f&#xFC;r Kommunikationsfehler, Integrit&#xE4;tspr&#xFC;fungen auf h&#xF6;heren Protokollebenen und abgesicherte Firmware-Prozesse wie Secure Boot hinzu.<\/p>\n\n\n\n<p>Gerade &#xE4;ltere Feldbusse wurden urspr&#xFC;nglich nicht f&#xFC;r heutige Bedrohungsszenarien entwickelt. Deshalb muss Security h&#xE4;ufig durch Systemarchitektur, H&#xE4;rtung und zus&#xE4;tzliche Schutzmechanismen erg&#xE4;nzt werden.<\/p>\n\n\n\n<div class=\"wp-block-stackable-image stk-block-image stk-block stk-f61433e\" data-block-id=\"f61433e\"><style>.stk-f61433e .stk-img-figcaption{text-align:center !important;font-style:italic !important;}<\/style><figure><span class=\"stk-img-wrapper stk-image--shape-stretch\"><img loading=\"lazy\" decoding=\"async\" class=\"stk-img wp-image-1891\" src=\"https:\/\/www.pickplace.de\/wp-content\/uploads\/2026\/04\/tampering-experiment.-oscilloscopejpeg.jpeg\" width=\"2048\" height=\"1536\" alt=\"Injektion eines Error-Bits auf CANH auf dem Oszilloskop\" srcset=\"https:\/\/www.pickplace.de\/wp-content\/uploads\/2026\/04\/tampering-experiment.-oscilloscopejpeg.jpeg 2048w, https:\/\/www.pickplace.de\/wp-content\/uploads\/2026\/04\/tampering-experiment.-oscilloscopejpeg-300x225.jpeg 300w, https:\/\/www.pickplace.de\/wp-content\/uploads\/2026\/04\/tampering-experiment.-oscilloscopejpeg-1024x768.jpeg 1024w, https:\/\/www.pickplace.de\/wp-content\/uploads\/2026\/04\/tampering-experiment.-oscilloscopejpeg-768x576.jpeg 768w, https:\/\/www.pickplace.de\/wp-content\/uploads\/2026\/04\/tampering-experiment.-oscilloscopejpeg-1536x1152.jpeg 1536w, https:\/\/www.pickplace.de\/wp-content\/uploads\/2026\/04\/tampering-experiment.-oscilloscopejpeg-16x12.jpeg 16w\" sizes=\"auto, (max-width: 2048px) 100vw, 2048px\"\/><\/span><figcaption class=\"stk-img-figcaption\">Injektion eines Error-Bits auf CANH auf dem Oszilloskop<\/figcaption><\/figure><\/div>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"gegenmassnahmen\">Gegenma&#xDF;nahmen<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"hardware-basierte-gegenmassnahmen\">Hardware-basierte Gegenma&#xDF;nahmen<\/h3>\n\n\n\n<p>Tampering l&#xE4;sst sich nur wirksam eind&#xE4;mmen, wenn ein System nicht blind davon ausgeht, dass gesendete Daten unver&#xE4;ndert beim Empf&#xE4;nger ankommen. Entscheidend ist daher die kontinuierliche &#xDC;berwachung der tats&#xE4;chlichen Kommunikation.<\/p>\n\n\n\n<p>Ein zentrales Prinzip ist der Abgleich von TX und RX. Das lokal ausgegebene Sendesignal wird dabei mit dem real auf dem Bus empfangenen Signal verglichen. Stimmen beide Signale nicht &#xFC;berein, deutet dies auf Kollisionen, physikalische St&#xF6;rungen oder gezielte Manipulationen hin. Gerade bei Shared-Medium-Bussen wie dem CAN bus ist diese Gegenpr&#xFC;fung ein wirksamer Ansatz, da externe Teilnehmer aktiv in den Signalverlauf eingreifen k&#xF6;nnen.<\/p>\n\n\n\n<p>Erg&#xE4;nzend erh&#xF6;hen Integrit&#xE4;tsmechanismen die Erkennungswahrscheinlichkeit. Dazu geh&#xF6;ren CRC-Pr&#xFC;fungen, Sequenzz&#xE4;hler, Authentifizierungscodes oder vergleichbare Schutzmechanismen. Besonders wirksam ist eine hardwarenahe Umsetzung, da Manipulationen fr&#xFC;h erkannt werden und nicht erst in h&#xF6;heren Software-Schichten auffallen. Ein robuster Hardware-CRC-Schutz kann Ver&#xE4;nderungen w&#xE4;hrend der &#xDC;bertragung zuverl&#xE4;ssig sichtbar machen.<\/p>\n\n\n\n<p>In der Praxis ist jedoch zu ber&#xFC;cksichtigen, dass zus&#xE4;tzliche &#xDC;berwachung und Sicherheitslogik Kosten, Entwicklungsaufwand, Latenz und Komplexit&#xE4;t erh&#xF6;hen. Separate Security-Transceiver, zus&#xE4;tzliche Controller-Funktionen oder propriet&#xE4;re Schutzmechanismen sind nicht in jedem Produkt wirtschaftlich sinnvoll.<\/p>\n\n\n\n<p>Deshalb sollte Tampering-Schutz m&#xF6;glichst protokoll-intrinsisch umgesetzt werden. Sicherheitsmechanismen, die direkt Bestandteil des Kommunikationsstandards sind, skalieren deutlich besser als nachtr&#xE4;glich erg&#xE4;nzte Einzell&#xF6;sungen. Beispiele sind integrierte Authentifizierung, st&#xE4;rkere Frame-Integrit&#xE4;t, definierte Fehlerreaktionen oder sichere Zustandsmodelle.<\/p>\n\n\n\n<p>Das Problem dabei: Nicht alle industriell etablierten Protokolle wurden mit heutigen Bedrohungsszenarien entwickelt. Viele klassische Feldbusse priorisieren Echtzeitverhalten, Einfachheit und geringe Kosten, nicht jedoch Security. Entsprechend fehlen native Mechanismen gegen gezielte Manipulation.<\/p>\n\n\n\n<div class=\"wp-block-stackable-image stk-block-image stk-block stk-9b85e6a\" data-block-id=\"9b85e6a\"><style>.stk-9b85e6a .stk-img-figcaption{text-align:center !important;font-style:italic !important;}.stk-9b85e6a .stk-img-wrapper{width:70% !important;}<\/style><figure><span class=\"stk-img-wrapper stk-image--shape-stretch\"><img loading=\"lazy\" decoding=\"async\" class=\"stk-img wp-image-1892\" src=\"https:\/\/www.pickplace.de\/wp-content\/uploads\/2026\/04\/image-1.png\" width=\"70\" height=\"300\" alt=\"CAN Transceiver helfen bei der Abwehr von Tampering\"\/><\/span><figcaption class=\"stk-img-figcaption\">CAN Transceiver helfen bei der Abwehr von Tampering<\/figcaption><\/figure><\/div>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"beispiel-can-bus\">Anwendungsbeispiel CAN Bus<\/h3>\n\n\n\n<p>Tampering kann jedoch gezielt einged&#xE4;mmt werden, wenn nicht nur das Protokoll, sondern auch die physikalische Signalebene &#xFC;berwacht wird. Eine wirksame Ma&#xDF;nahme sind Security-Transceiver, die das lokale Sende- und Empfangssignal permanent miteinander vergleichen.<\/p>\n\n\n\n<p>Ein Beispiel daf&#xFC;r ist die NXP <a href=\"https:\/\/www.nxp.com\/docs\/en\/fact-sheet\/SECURCANTRLFUS.pdf\" target=\"_blank\" rel=\"noopener\">TJA115x<\/a>-Baureihe. W&#xE4;hrend ein legitimer Host sendet, &#xFC;berwacht der Transceiver, ob das tats&#xE4;chlich empfangene Bussignal dem lokal ausgegebenen TX-Signal entspricht. Werden Bits auf dem Bus durch einen externen Teilnehmer ver&#xE4;ndert oder &#xFC;berlagert, erkennt der Transceiver die Abweichung zwischen TX und RX.<\/p>\n\n\n\n<p>Besonders relevant ist dies im Zustand Error Passive. Nach klassischem CAN-Verhalten k&#xF6;nnen Manipulationen in diesem Zustand unter bestimmten Umst&#xE4;nden stattfinden, ohne dass ein aktiver Error Frame ausgel&#xF6;st wird. Dadurch entstehen Sicherheitsl&#xFC;cken f&#xFC;r gezieltes Tampering. Ein Security-Transceiver kann diese L&#xFC;cke schlie&#xDF;en, indem er unabh&#xE4;ngig vom Controller eine unzul&#xE4;ssige Signalabweichung erkennt und selbst Schutzma&#xDF;nahmen einleitet.<\/p>\n\n\n\n<p>Je nach Implementierung k&#xF6;nnen dazu das Blockieren weiterer &#xDC;bertragungen, das Setzen eines Fehlersignals, das Trennen des Knotens vom Bus oder das Melden eines Security Events an den Host geh&#xF6;ren. Dadurch wird Tampering nicht vollst&#xE4;ndig unm&#xF6;glich, aber im Mindesten schneller detektierbar.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"zusammenfassung\">Zusammenfassung<\/h2>\n\n\n\n<p>Tampering zeigt, dass ein Embedded-System nicht erst durch das Ver&#xE4;ndern von Daten kompromittiert wird. Schon der gezielte Eingriff in eine laufende Kommunikation kann reichen, um Funktionen zu st&#xF6;ren und die Verf&#xFC;gbarkeit eines Systems zu reduzieren. Der Schutz der Kommunikationsintegrit&#xE4;t ist deshalb ein zentraler Bestandteil moderner Embedded-Security.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Tampering beschreibt die unautorisierte Manipulation von Systemen, Daten oder laufenden Kommunikationsvorg\u00e4ngen. Tampering ist ein Angriff auf Bussysteme und Peripherie und daher im Kontext Embedded Cyber Security relevant. Im Embedded-Umfeld betrifft dies nicht nur Software oder gespeicherte Inhalte, sondern h\u00e4ufig auch die Kommunikation zwischen Steuerger\u00e4ten, Sensoren, Aktoren und vernetzten Subsystemen. Da viele Funktionen direkt von einem [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"menu_order":0,"template":"","meta":{"footnotes":""},"class_list":["post-1888","glossary","type-glossary","status-publish","hentry"],"blocksy_meta":[],"_links":{"self":[{"href":"https:\/\/www.pickplace.de\/en\/wp-json\/wp\/v2\/glossary\/1888","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.pickplace.de\/en\/wp-json\/wp\/v2\/glossary"}],"about":[{"href":"https:\/\/www.pickplace.de\/en\/wp-json\/wp\/v2\/types\/glossary"}],"author":[{"embeddable":true,"href":"https:\/\/www.pickplace.de\/en\/wp-json\/wp\/v2\/users\/1"}],"version-history":[{"count":2,"href":"https:\/\/www.pickplace.de\/en\/wp-json\/wp\/v2\/glossary\/1888\/revisions"}],"predecessor-version":[{"id":1893,"href":"https:\/\/www.pickplace.de\/en\/wp-json\/wp\/v2\/glossary\/1888\/revisions\/1893"}],"wp:attachment":[{"href":"https:\/\/www.pickplace.de\/en\/wp-json\/wp\/v2\/media?parent=1888"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}