In modernen Fahrzeugen finden sich immer mehr vernetzte Funktionen. Vor sechs Jahren wurde das erste Fahrzeug in Deutschland mit einem Virtuellen Schlüssel ausgeliefert. Damit wurde das Smartphone zum Autoschlüssel. Fahrerinnen und Fahrer können auf diese Weise über ihre App das Fahrzeug öffnen und starten.
Heute wird eine Vielzahl moderner Fahrzeugmodelle mit der Option eines Virtuellen Schlüssels ausgeliefert, teilweise gibt es physische Schlüssel nur noch als Notschlüssel. "Wir erwarten, dass zukünftig alle Fahrzeuge mit Virtuellen Schlüsseln verkauft werden“, sagte Lucie Bakker, Vorständin Schaden bei der Allianz Versicherungs-AG, vergangene Woche auf dem 11. Allianz Autotag.
Unsicherheit bereits beim Werkstatt-Service
Das ist zwar einerseits komfortabel, birgt aber auch Risiken. Wird beispielsweise das Fahrzeug einer Werkstatt zur Reparatur oder Inspektion übergeben, muss dem Werkstattpersonal zur Nutzung des Fahrzeugs ein zusätzlicher Schlüssel in der App generiert und digital zur Verfügung gestellt werden. Was passiert aber mit diesem Schlüssel nach Abschluss der Reparatur? Bei einigen Herstellern ist dieser Schlüssel zeitlich beschränkt gültig, bei anderen muss er aktiv gelöscht werden. Bei diversen Herstellern ist nicht bekannt, welches Prozedere zur Löschung vorgeschrieben ist. Der Halter des Fahrzeugs müsse aber "jederzeit wissen, wie viele Autoschlüssel generiert wurden und wie viele davon noch aktiv sind", konstatiert Bakker. Das sei nicht nur wichtig beim Verkauf des Autos, sondern auch im Versicherungsfall, beispielsweise nach einer Totalentwendung.
Virtueller Schlüssel schafft neue Herausforderungen
Bisher reicht der Kunde oder die Kundin für die Regulierung den vollständigen Schlüsselsatz bei der Versicherung ein. Dies gilt grundsätzlich auch für den Virtuellen Fahrzeugschlüssel, aber niemand wird dem Versicherer im Falle eines Fahrzeugdiebstahls sein Smartphone zuschicken wollen. Er oder sie muss deshalb angeben, ob es zum Zeitpunkt der Entwendung weitere Fahrberechtigungen in Form von Virtuellen Schlüsseln gab und einen Nachweis über die Löschung dieser Berechtigungen vorlegen.
"Die Technik des Virtuellen Schlüssels stellt unsere Kundinnen und Kunden und uns als Versicherer im Falle eines Fahrzeugdiebstahls vor neue Herausforderungen. Wir müssen sicherstellen, dass im Schadenfall der Nachweis über alle Virtuellen Schlüssel einfach und problemlos vom Fahrzeughersteller zur Verfügung gestellt werden kann", sagte Bakker. "Wir müssen wissen, wann welches Smartphone für einen Virtuellen Schlüssel berechtigt wurde.“
Virtueller Fahrzeugschlüssel muss sicher sein
Die Expertinnen und Experten des Allianz Zentrum für Technik (AZT) haben deshalb bereits 2019 Anforderungen an die Gestaltung des Virtuellen Schlüssels formuliert, die offen für unterschiedliche technische Lösungen sind. Diese technischen Anforderungen sind mittlerweile ein anerkannter internationaler RCAR-Standard, der auch die Datenschutzanforderungen an den Virtuellen Schlüssel berücksichtigt. RCAR ist ein internationaler Zusammenschluss von Automobilforschungszentren, die von Versicherern getragen werden und deren Ziel es ist, "die menschlichen und wirtschaftlichen Kosten von Kraftfahrzeugschäden zu verringern“.
Christoph Lauterwasser, Chef des deutschen Forschungszentrums AZT und hoch engagiert auch im RCAR-Verbund, sagte letzte Woche in Ismaning unmissverständlich: "Der Kunde muss dem Virtuellen Schlüssel vertrauen können. Das geht nur, wenn der Schutz der Schlüsseldaten garantiert ist. Das heißt, der Schlüssel darf zum Beispiel nicht kopierbar sein, bei Weitergabe muss ein neuer individueller Schlüssel generiert werden!"
Da es aber bislang keine einheitliche Umsetzung des Standards für den Virtuellen Schlüssel bei den Fahrzeugherstellern gibt, besteht bezüglich der Kernforderungen des AZT weiterhin Handlungsbedarf. "Im Sinne einer vorausschauenden Schadenprävention und der kundenorientierten Verfügbarkeit von Daten zum Nachweis im Falle eines Totaldiebstahls appellieren wir an alle Fahrzeughersteller, die Kernforderungen des AZT konsequent umzusetzen", sagte Bakker.
Die vier wichtigsten Anforderungen
IT-Security-Expertin Natallia Dziamchuk und Christoph Lauterwasser fassten abschließend nochmals die wichtigsten Kernforderungen aus Assekuranzsicht zusammen:
1. Der Virtuelle Fahrzeugschlüssel darf nicht kopierbar sein, analog zum physischen Schlüssel muss erkennbar sein, wie viele Schlüssel im Umlauf sind.
2. Alle berechtigten Fahrzeugnutzer und -nutzerinnen müssen übersichtlich, transparent und unveränderlich für Kunden und Versicherung aufgeführt sein. Kundinnen und Kunden müssen bei einem Totaldiebstahl sofort alle Virtuellen Schlüssel nachweisbar zurückziehen können.
3. Die Zugangsberechtigung zum Auto muss von der Fahrberechtigung getrennt sein, um das bestehende Schutzniveau der elektronischen Wegfahrsperre nicht zu unterlaufen.
4. Die Datenumgebung des Virtuellen Schlüssels muss strikt von sonstigen Applikationen getrennt sein. Alle sicherheitskritischen Daten müssen in einer sicheren Speicher- und Ausführungsumgebung verarbeitet werden. (kaf/wkp)