Diagnosezugang

Security Gateway: "Kein standardisiertes Vorgehen"

Fiat Chrysler verschlüsselte als erster Autobauer die OBD-Schnittstelle. Den Datenzugriff müssen sich Werkstätten seither erkaufen. Spannend wird es laut Harald Hahn vom ASA-Verband bei der künftigen Remote-Diagnose über Funk ("Over-The-Air").

Welche Autohersteller setzen derzeit auf so genannte Security Gateways? Macht das FCA-Beispiel Schule?

Ja, leider macht das Beispiel FCA Schule. Mittlerweile gibt es eine ganze Reihe von Fahrzeugherstellern, die den Zugriff über OBD nur über entsprechende Zertifikate zulassen. Nach aktuellem Stand sind neben FCA auch Fahrzeuge von Chrysler, Hyundai/Kia, Renault, Nissan, Mercedes-Benz sowie Volkswagen/Audi betroffen. Es ist davon auszugehen, dass alle in Zulassung befindlichen neuen Modellreihen über kurz oder lang mit diesem Mechanismus versehen werden.

Wie ist eigentlich die Situation im Nfz-Segment?

Zumindest im Bereich der kleinen Nutzfahrzeuge gibt es ähnliche Einschränkungen, beispielsweise der Iveco Daily. Gerade für Nfz ist das Thema autonomes Fahren von höherer Bedeutung als bei Pkw, sodass es auch hier ähnliche Restriktionen geben wird.

Inwiefern steht die Verschlüsselung der OBD-Schnittstelle in Einklang mit der aktuellen Typgenehmigungsrichtlinie?

Die aktuelle Typgenehmigungsrichtlinie 715/2007, die für neue Typgenehmigungen immer noch heranzuziehen ist, lässt diese Einschränkungen nicht zu. In der ab Herbst 2020 gültigen Richtlinie 2018/858 sind Zertifikate aus Gründen der IT-Sicherheit erlaubt. Verschlüsselt sind nicht die Daten selbst. Vielmehr muss man, um diese Daten auszulesen bzw. Diagnosedienste durchzuführen, bestimmte Kriterien erfüllen.

Behindern Hersteller mit der Sperre den Zugang freier Servicebetriebe zu Diagnose- und Reparaturdaten?

Das ist sicherlich der Fall, in Zeiten der autonomen Fahrstrategien steht die Sicherheit dieser Fahrfunktionen jedoch hoch im Kurs, sodass auch vom Verordnungsgeber ein ungeschützter und somit ungewollter Zugriff auf das Fahrzeug und seine Fahrfunktionen nicht erwünscht ist. Wichtig wäre jedoch trotz aller Restriktionen, dass es einen standardisierten sicheren Zugriff geben muss.

Inwieweit unterscheiden sich die einzelnen Authentifizierungsmechanismen der Autobauer?

Das ist das eigentliche Problem: Jeder Fahrzeughersteller implementiert seine eigenen Authentifizierungssysteme und es gibt kein standardisiertes Vorgehen. Dies führt auch dazu, dass man zukünftig bestimmte Diagnosedienste nur durchführen kann, wenn man autorisiert ist und das Diagnosetool „sehr streng“ mit der Herstellerumgebung angebunden ist.

Verfolgt man die Mitteilungen der Mehrmarken-Diagnosegeräte-Hersteller, so bekommt man den Eindruck als würden diese nacheinander beispielsweise beim FCA-Konzern vorstellig, um digitale Schlüssel gewährt zu bekommen...

Dass Gerätehersteller direkt Verträge mit den Fahrzeugherstellern abschließen, um Daten rechtmäßig zu kaufen bzw. Verschlüsselungs- Themen wie bei FCA zu lösen, ist ganz normal und obliegt den jeweiligen Firmen. Aufgabe des Verbandes und seiner europäischen Organisation sind der standardisierte Zugriff, sowie Nicht-Konformität mit bestehenden Gesetzgebungen zu kritisieren.

Gibt es Ansätze zu einer konzertierten Aktion bzw. Branchenlösung evtl. von Seiten des ASA-Verbands bzw. auf Ebene der europäischen Werkstattausrüster, EGEA?

Zum Thema Autorisierung und standardisierter Zugriff ist der ASA-Verband sehr intensiv auf europäischer Ebene über die European Garage Equipment Association, kurz EGEA, eingebunden, Im Verbund mit AFCAR unternehmen wir intensive Anstrengungen, auch auf nationaler Ebene gibt es Arbeitskreise, die sich intensiv mit dem Zugriff auf Daten beschäftigen [Bei der „Alliance for the Freedom of Car Repair in Europe, kurz AFCAR, handelt es sich um einen Zusammenschluss verschiedener Verbände des freien Reparaturmarktes auf EU-Ebene; Anm. d. Red.]. Aktuell ist ja nur der Zugang über die OBD-Schnittstelle gesetzlich abgesichert. Anwendungen wie Telematik, Diagnostic-Over-The-Air werden zukünftig noch wichtiger werden – auch dieses Thema wird aktuell im Rahmen der Cybersecurity-Diskussion adressiert. Dass Gerätehersteller direkt Verträge mit den Fahrzeugherstellern abschließen, um Daten rechtmäßig zu kaufen bzw. Verschlüsselungs- Themen wie bei FCA zu lösen, ist ganz normal und obliegt den jeweiligen Firmen. Aufgabe des Verbandes und seiner europäischen Organisation sind der standardisierte Zugriff, sowie bei Nicht-Konformität mit bestehenden Gesetzgebungen Kritik zu üben.