Security Gateway: Sicherheit hat ihren Preis

Es war eine peinliche Angelegenheit für Fiat Chrysler: In den USA hatten 2015 zwei Hacker demonstriert, dass es möglich ist, ein Fahrzeug von außen zu hacken und Kontrolle über das Fahrzeug zu erlangen, unter anderem über Bremsen, Beschleunigung, Türverriegelung, Klimaanlage und Scheibenwischer. Die Angreifer nutzten die Konnektivitäts- und Diagnoseprotokolle zur Modifikation der Software der beteiligten Steuergeräte. Der Automobilhersteller reagierte umgehend und führte entsprechende Cybersicherheitsmaßnahmen für seine ab 2017 weltweit produzierten Modelle ein. FCA schützt die OBD-Schnittstelle durch ein "Security Gateway". Damit kann nur noch lesend auf das Fahrzeug zugegriffen werden. Schreibende Funktionen sind nicht mehr möglich. Dazu gehört auch das Löschen von Fehlercodes oder der Service-Reset. Veränderungen an Fahrzeugsystemen sind nur noch mit dem Originaltester von FCA möglich. FCA ist nur der Anfang Mittlerweile ist klar: FCA ist nur der Anfang einer Entwicklung, die freie Werkstätten bald vor größere Probleme stellen könnte, wenn sie nicht über das passende Equipment und die notwendigen Freigaben durch den Automobilhersteller verfügen. Künftig, das zeichnet sich ab, müssen freie Servicebetriebe Sicherheitszertifikate direkt vom Hersteller anfordern. Nur dann können sie den Service vollumfänglich durchführen. Die Anbieter von Mehrmarkendiagnose-Systemen sind daher nervös. Denn noch ist unbekannt, wie die Sicherheitslösungen der anderen Fahrzeughersteller aussehen werden. Dass sie nachziehen, steht außer Zweifel. Die EU-Verordnung EU858/2018, die im September 2020 in Kraft tritt, fordert unter anderem den Schutz der Fahrzeugelektronik vor unerlaubtem Zugriff. Viele OEM planen daher aktuell geeignete Sicherheitsmaßnahmen. Der IAM ist nervös Joachim Schneeweiss, Verkaufsleiter EMEA Mahle Service Solutions, versteht den Wunsch nach mehr Sicherheit: "Die Autohersteller sind bestrebt, den unbefugten Zugriff auf ihre Fahrzeuge zu unterbinden. Das ist grundsätzlich verständlich und nicht falsch, da im Falle eines Unfalls aufgrund von Datenzugriffen letztlich auch Haftungsfragen im Raum stehen." Seit Oktober bietet Mahle für die eigenen Diagnosesysteme eine integrierte Lösung an, die Nutzern den Zugang zu Sicherheitszertifikaten von FCA für viele Modelle ermöglicht. "Wir haben mit Fiat einen entsprechenden Vertrag geschlossen und werden unsere Kunden zeitnah über die Details informieren", erklärt Joachim Schneeweiss. Zum Prozedere kann er bereits Details verraten: "Die Werkstatt wird bei uns den Zugang in Form eines Jahresabos erwerben können und hat anschließend Zugriff auf das Fiat-Portal. Alle relevanten Diagnosezugänge sind dann verfügbar und können genutzt werden." Das Abo soll unter 100 Euro kosten. Dafür können Nutzer dann in der Mahle-Software wie gewohnt arbeiten und springen kurzzeitig auf den Fiat-Server, um sich das Zertifikat herunterzuladen, das für bestimmte Servicefunktionen notwendig ist. Auch die anderen Anbieter von Systemen für die Mehrmarkendiagnose stehen in den Startlöchern. Peter Sohmer, Leiter Produktentwicklungen bei Hella Gutmann, weist darauf hin, dass Fiat Chrysler Automobiles bei der Umsetzung des Security Gateways der Vorreiter sei. "Andere Hersteller werden nachziehen, doch es gibt derzeit noch keine weiteren realisierten Lösungen. Somit können auch seitens der Gerätehersteller noch keine konkreten serien- und werkstatttauglichen Lösungen angeboten, sondern lediglich Beta-Versionen vorbereitet werden." Hella Gutmann befasst sich laut Sohmer schon seit Längerem mit unterschiedlichen Szenarien. "Da man davon ausgehen muss, dass die Umsetzungen der Hersteller nicht einheitlich sein werden, bereitet sich Hella Gutmann auf unterschiedliche Abläufe und Lösungen vor. Allen gemeinsam ist das Ziel, freien Werkstätten ab 2020 legale Zugänge zu Fahrzeug- und Diagnosedaten zu erleichtern", erklärt Peter Sohmer. Bei Bosch läuft bereits ein Feldtest mit einem direkten Zugang. Auf Anfrage verweist Bosch auf laufende Gespräche mit den Fahrzeugherstellern. Ziel sei es, einen schnellen und reibungslosen Ablauf von gesicherten Diagnosen auch an geschützten Fahrzeugen unter Verwendung der Werkstattsoftware Esitronic sicherzustellen. Eine Diagnoselösung für geschützte FCA-Modelle steht allen Esitronic-Anwendern seit Mitte September 2019 im Feldtest-Modus zur Verfügung. Das Prozedere setzt eine vorherige Registrierung des Mechanikers auf dem FCA-Portal voraus. Mithilfe der erworbenen Zugangsdaten werden bei der Fahrzeugdiagnose mittels Internetverbindung Online-Sicherheitszertifikate ausgetauscht und so der Zugang zum Fahrzeug freigeschaltet. Voraussetzung für diese Lösung ist laut Bosch eine stabile Internetverbindung während der Diagnosesession und die Nutzung eines Testers der neuesten KTS-Generation. Lösungen sind in Arbeit Andreas Wittig, Diagnose-Experte bei AVL DiTest, kündigt ebenfalls eine Lösung an: "Für FCA rechnen wir damit für kommendes Jahr." Auch bei Texa ist man am Thema dran. In Zusammenarbeit mit FCA wurde die Möglichkeit geschaffen, dass sich Anwender aus der IDC5-Software heraus auf dem FCA-Portal anmelden, Diagnosesitzungen erwerben und die bislang gesperrten Funktionen ausführen können. Hierunter fallen alle Aktivierungen und Einstellungen, unter anderem auch die einfache Fehlerlöschung. "Somit steht unseren Kunden nun wieder der volle Diagnoseumfang auch bei neuesten Fahrzeugen der FCA-Gruppe zur Verfügung", heißt es bei Texa. Grundsätzlich sieht man die Entwicklung im IAM aber kritisch. Harald Neumann, Senior Consultant, Geschäftsbereich Automotive Aftermarket der Robert Bosch GmbH, weiß um die Skepsis in den Reihen der markenunabhängigen Serviceanbieter und Werkstattausrüster: "Wir sind als IAM nicht vollständig einverstanden mit der Vorgehensweise durch einzelne Fahrzeughersteller. Die Belange des freien Marktes wurden dabei nicht immer ausreichend berücksichtigt. Daher streben wir einen Kompromiss an, der allen Interessen gerecht wird. Es darf insbesondere kein Monitoring durch den Fahrzeughersteller geben." Dahinter steht die Sorge, dass ein Fahrzeughersteller durch Anmeldung der Werkstätten auf dem Herstellerportal Einblick in deren Serviceaktivitäten bekommen und dies zum eigenen Wettbewerbsvorteil nutzen könnte. Eine Forderung des IAM heißt daher: Daten müssen anonymisiert werden, damit kein Rückschluss darüber möglich ist, welche Arbeiten wann in welcher Werkstatt an welchem Fahrzeug durchgeführt werden. Viele Fragen sind offen Viele Detailfragen sind derzeit noch nicht abschließend geklärt. Das betrifft beispielsweise die Kosten, die auf Werkstätten zukommen. Gelten hier die gleichen Kostensätze wie beim Zugriff durch freie Werkstätten auf Herstellerportale im Service? Soll über Pauschalen abgerechnet werden oder pro Zugriff? Und wie verhält es sich bei Werkstätten, die mehrere Diagnosegeräte im Einsatz haben? Benötigen die dann je eine eigene Anmeldung oder genügt ein Account? Nach den Vorstellungen einiger Fahrzeughersteller wollen sie den Anbietern von Mehrmarkendiagnosegeräten ein Stück Software zur Verfügung stellen, das diese dann in ihre Diagnose-Software integrieren könnten. Diese Software soll die herstellerspezifische Kommunikation sowie die Zertifikate managen. "Das zieht dann bei einer proprietären Software des Herstellers aber Fragen der Gewährleistung für die ordnungsgemäße Funktion des Diagnosetools nach sich", erklärt Neumann. Aus Sicht des IAM wäre es sinnvoller, wenn der Hersteller bestimmte Spezifikationen vorgeben würde und die Diagnoseanbieter dann in ihrem System selbst programmieren. Diese Sicht teilt man auch beim Bundesverband der Hersteller und Importeure von Automobil-Service Ausrüstungen (ASA). Harald Hahn, ASA-Vizepräsident und Leiter des Fachbereichs Diagnose und Abgasmessgeräte, bestätigt, dass der Prozess der Zuteilung bzw. des Handlings der Zertifikate heute weder einheitlich beschrieben noch standardisiert sei. Mit der Folge, dass Werkstatt und Toolhersteller gezwungen seien, viele unterschiedliche und zudem fahrzeugherstellerspezifische Lösungen vorzuhalten. "So kann es passieren, dass zum Beispiel beim Hersteller A der Diagnosegerätehersteller ein Stück Software des OEM implementieren muss, bei Hersteller B läuft der Authentifizierungsprozess zum Beispiel direkt über den Fahrzeughersteller", erklärt Hahn die Situation und ergänzt: "Zum anderen kann es, wie andere Beispiele schon gezeigt haben, passieren, dass sich die unterschiedlichen Lösungen der OEM gegenseitig beeinflussen. Hier besteht dringender Handlungsbedarf, mit dem Ziel einer einheitlichen, standardisierten Lösung zur Authentifizierung." Euro-DFT im Vorteil Um Kfz-Betrieben einen einfachen Zugang zu Herstellerportalen zu ermöglichen, haben der Zentralverband Deutsches Kraftfahrzeuggewerbe (ZDK) und die ADIS-Technology GmbH das "Euro-DFT" entwickelt. Die Kommunikation zwischen Fahrzeug und Hersteller findet über einen Universaladapter, das "Vehicle Communication Interface", statt. Derzeit werden Audi, BMW, Ford, Mercedes-Benz, Mini, Opel/Chevrolet EU, Seat, Skoda, Smart, Toyota und VW unterstützt. ADIS-Geschäftsführer Dirk Marichal erwartet für den neuen Golf 8, wie von VW angekündigt, weitergehende Sicherheitsbeschränkungen beim OBD-Zugang. "Beim neuen Golf wird der Zugang zur OBD-Schnittstelle nur noch lesend, aber nicht mehr schreibend möglich sein, es sei denn, man verfügt über ein elektronisches Zertifikat." Marichal sieht das Thema gelassen, weil das Euro-DFT ohnehin mit Herstellersoftware arbeitet und der Zugang zu den Sicherheitszertifikaten dann bereits implementiert sein wird. Kurzfassung Um Fahrzeuge vor gefährlichen Manipulationen zu schützen, lassen Automobilhersteller den schreibenden Zugriff über die OBD-Schnittstelle nur noch mit Sicherheitszertifikaten zu. Das ändert die Spielregeln für die Diagnose.

Chery: So erfolgt der Deutschland-Start 2025

Forum Automotive: Branchenwandel als Chance nutzen

Hyundai Ioniq 9: Dieses große E-SUV kommt nach Europa

Fahrzeugschaden in der Waschanlage: BGH-Urteil "richtungsweisend"

ZDK-Krise: Einheit macht stark, Zwietracht schwächt

Alle Schlagzeilen

Security Gateway: Sicherheit hat ihren Preis

HASHTAG

#Diagnosegerät

ASA-Jahrespressegespräch: Der Boom ist zu Ende

Diagnose: "Das Gerät bleibt"

Hella: Gebündelte Werkstatt-Kompetenz

MEISTGELESEN

Sternauto: Größter BYD-Store in Deutschland eröffnet

Dacia: "Wir erobern von anderen Marken"

Mercedes zeigt neuen Benzinmotor: Es wird noch verbrannt

STELLENANGEBOTE

Servicetechniker (m/w/d)

Leiter IT (w/m/d)

Juniorverkäufer (m/w/d)

Werkstattmeister Karosserie (m/w/d)

Finanz- oder Bilanzbuchhalter (m/w/d)

WEITERLESEN

NEWSLETTER