Security Gateway: "Kein standardisiertes Vorgehen"

Ja, leider macht das Beispiel FCA Schule. Mittlerweile gibt es eine ganze Reihe von Fahrzeugherstellern, die den Zugriff über OBD nur über entsprechende Zertifikate zulassen. Nach aktuellem Stand sind neben FCA auch Fahrzeuge von Chrysler, Hyundai/Kia, Renault, Nissan, Mercedes-Benz sowie Volkswagen/Audi betroffen. Es ist davon auszugehen, dass alle in Zulassung befindlichen neuen Modellreihen über kurz oder lang mit diesem Mechanismus versehen werden.

Zumindest im Bereich der kleinen Nutzfahrzeuge gibt es ähnliche Einschränkungen, beispielsweise der Iveco Daily. Gerade für Nfz ist das Thema autonomes Fahren von höherer Bedeutung als bei Pkw, sodass es auch hier ähnliche Restriktionen geben wird.

Die aktuelle Typgenehmigungsrichtlinie 715/2007, die für neue Typgenehmigungen immer noch heranzuziehen ist, lässt diese Einschränkungen nicht zu. In der ab Herbst 2020 gültigen Richtlinie 2018/858 sind Zertifikate aus Gründen der IT-Sicherheit erlaubt. Verschlüsselt sind nicht die Daten selbst. Vielmehr muss man, um diese Daten auszulesen bzw. Diagnosedienste durchzuführen, bestimmte Kriterien erfüllen.

Das ist sicherlich der Fall, in Zeiten der autonomen Fahrstrategien steht die Sicherheit dieser Fahrfunktionen jedoch hoch im Kurs, sodass auch vom Verordnungsgeber ein ungeschützter und somit ungewollter Zugriff auf das Fahrzeug und seine Fahrfunktionen nicht erwünscht ist. Wichtig wäre jedoch trotz aller Restriktionen, dass es einen standardisierten sicheren Zugriff geben muss.

Das ist das eigentliche Problem: Jeder Fahrzeughersteller implementiert seine eigenen Authentifizierungssysteme und es gibt kein standardisiertes Vorgehen. Dies führt auch dazu, dass man zukünftig bestimmte Diagnosedienste nur durchführen kann, wenn man autorisiert ist und das Diagnosetool „sehr streng“ mit der Herstellerumgebung angebunden ist.

Dass Gerätehersteller direkt Verträge mit den Fahrzeugherstellern abschließen, um Daten rechtmäßig zu kaufen bzw. Verschlüsselungs- Themen wie bei FCA zu lösen, ist ganz normal und obliegt den jeweiligen Firmen. Aufgabe des Verbandes und seiner europäischen Organisation sind der standardisierte Zugriff, sowie Nicht-Konformität mit bestehenden Gesetzgebungen zu kritisieren.

Zum Thema Autorisierung und standardisierter Zugriff ist der ASA-Verband sehr intensiv auf europäischer Ebene über die European Garage Equipment Association, kurz EGEA, eingebunden, Im Verbund mit AFCAR unternehmen wir intensive Anstrengungen, auch auf nationaler Ebene gibt es Arbeitskreise, die sich intensiv mit dem Zugriff auf Daten beschäftigen [Bei der „Alliance for the Freedom of Car Repair in Europe, kurz AFCAR, handelt es sich um einen Zusammenschluss verschiedener Verbände des freien Reparaturmarktes auf EU-Ebene; Anm. d. Red.]. Aktuell ist ja nur der Zugang über die OBD-Schnittstelle gesetzlich abgesichert. Anwendungen wie Telematik, Diagnostic-Over-The-Air werden zukünftig noch wichtiger werden – auch dieses Thema wird aktuell im Rahmen der Cybersecurity-Diskussion adressiert. Dass Gerätehersteller direkt Verträge mit den Fahrzeugherstellern abschließen, um Daten rechtmäßig zu kaufen bzw. Verschlüsselungs- Themen wie bei FCA zu lösen, ist ganz normal und obliegt den jeweiligen Firmen. Aufgabe des Verbandes und seiner europäischen Organisation sind der standardisierte Zugriff, sowie bei Nicht-Konformität mit bestehenden Gesetzgebungen Kritik zu üben.