Seit FCA/Stellantis als erster Fahrzeughersteller damit angefangen hatte, die OBD-Schnittstelle durch ein Sicherheits-Gateway zu schützen, sind andere Hersteller nachgezogen. Um durch diese Gateways zu kommen, muss sich eine Kfz-Werkstatt beim Hersteller registrieren und kostenpflichtig die Online-Freischaltung des Fahrzeugs erwirken. Dagegen haben Marktteilnehmer vor dem Landgericht Köln geklagt. Die Argumentation: Security Gateways schränken die Möglichkeiten freier Werkstätten zur Durchführung notwendiger Diagnose- und Reparaturvorgänge ein. Vom LG Köln ging die Klage an den Europäischen Gerichtshof (EuGH). Und dieser entschied im Oktober 2023, dass die Security Gateways (nur die von FCA/Stellantis) nach der Europäischen Typgenehmigungsverordnung nicht zulässig seien. Spezifisch unzulässig sind die Registrierung beim Fahrzeughersteller wie auch die notwendig dauerhafte Onlineverbindung mit dessen Servern.

Natürlich ist es sinnvoll, dass Fahrzeuge vor unbefugtem Zugriff geschützt sind. Das verlangt auch die weltweite Regulierung UNR155. Daher haben viele Fahrzeughersteller ihre Fahrzeugmodelle mit einem gesicherten Diagnosezugang ausgestattet. Aktive Diagnosearbeiten, wie ein Scheibentausch oder die Kalibrierung von Fahrerassistenzsystemen, sind in der Regel so einfach nicht mehr möglich.

 

Das stellt Werkstätten vor technische und administrative Herausforderungen, denn Fahrzeughersteller setzen teilweise auf individuelle Sicherheitslösungen. Ohne Freischaltung ist eine Diagnose bei diesen Fahrzeugmodellen nur auf das Auslesen und Löschen von Fehlerspeichern sowie einiger Ist-Werte beschränkt. 

Neuer Rechtsakt der EU zu Fahrzeugdiagnosedaten

Der Gesamtverband Autoteilehandel hat auf Basis des EuGH-Urteils andere Fahrzeughersteller abgemahnt, damit auch diese richtigerweise ihre Security Gateways schließen. Nun gibt es aber ein Dilemma: Auf der einen Seite das Urteil zur Schließung unzulässiger Security Gateways, auf der anderen Seite verlangt die weltweite Regulierung UNR155, für Cybersicherheit in den Autos zu sorgen. Als machbare Option entschied daraufhin die Europäische Kommission, das Gesetz zu ändern.

 

Seit März vergangenen Jahres haben nun die Fahrzeughersteller und ihr Verband, Werkstätten, Teilehändler sowie Zulieferer wie MAHLE intensiv beraten. Zuletzt auch auf der Konferenz des europäischen Zuliefererverbandes CLEPA in Brüssel: dort hatte Felix-Matthias Walter, globaler Leiter Service Solutions bei MAHLE Lifecicle and Mobility mit Vertretern der EU-Kommission, Werkstattverbänden und Flottenmanagementbetreibern zum Thema diskutiert.

Die bisherigen Ergebnisse des Gesetzesentwurfs:

  • Künftig sollen unabhängige Serviceanbieter mehr Informationen zu verbauten Komponenten im Fahrzeug erhalten, wie nötige Softwareupdates zu Reparaturen, mehr Infos über etwa Fahrerassistenzsysteme (ADAS) oder Batteriereparaturen.
    Der Zugang soll zukunftssicher auch jenseits des OBD-Ports (etwa over-the-air) gewährleistet werden – wie sie den OEM-Partnern bereitstehen.

 

  • Zentraler Punkt des Rechtsaktes ist die Cybersicherheit: Fahrzeughersteller dürfen den Zugang nicht unverhältnismäßig einschränken und müssen die Maßnahmen im eigenen Netzwerk als Maßstab nehmen. Gleichzeitig werden Diagnosewerkzeuge strengeren Sicherheitsanforderungen unterworfen, etwa ISO 27001 oder TISAX und die Konformität mit den Cybersicherheits- und Softwareupdateanforderungen der Fahrzeughersteller.

 

  • Je nach Erheblichkeit des Diagnosezugriffs werden unterschiedliche Anforderungen an das Tool, dessen Onlineverbindung, Gültigkeit der Zugangsdaten, die Authentifizierung der Werkstätten und Nachverfolgung festgehalten.

 

  • Das Lesen von Fehlercodes oder der FIN wird offline ohne Nachverfolgung möglich. Lesezugriff auf Steuergeräte und Anpassungen, Kalibrierungen verlangen eine einmalige Online-Verbindung des Diagnosetools mit dem Herstellerserver und gültige Zugangsdaten für 30 Tage. Schreibfunktionen, Programmierungen mit permanenten Änderungen oder sogar mit direkter Backend-Interaktion haben 24 Stunden gültige Zugangsdaten und dauerhafte Online-Verbindung sowie eine jeweils detaillierte Dokumentation der im Service durchgeführten Arbeiten. 

 

  • Die Kosten für den einzelnen Cybersicherheitszugriff entfallen, jedoch sind auch weiterhin Lizenzgebühren, bestimmt durch den Fahrzeughersteller, für die Entwicklung von Diagnosetools erlaubt und die Diagnose damit nicht kostenlos.

Die Authentifizierung und Autorisierung der Werkstätten soll sowohl vom Diagnosegerätehersteller oder auch über SERMI in einer Light-Version möglich sein. Das SERMI-Schema reguliert, wer Zugriff hat auf diebstahl- und sicherheitsrelevante Funktionen und Informationen in Fahrzeugherstellerportalen und über Diagnosegeräte. Ziel ist es hier möglichst schnell Branchenstandards zu verwenden, um Werkstätten das Arbeiten so einfach wie möglich zu machen.

„Wir begrüßen die Klarstellungen und die Zunahme digitaler Möglichkeiten für die Werkstätten und hoffen auf eine schnelle Verabschiedung des Gesetzes. Abzusehen ist jedoch auch eine steigende Abhängigkeit der Diagnosetools und Werkstätten von den Fahrzeugherstellern. Eine Zurückhaltung gegenüber Cybersecurity brauchen Werkstätten jedoch nicht zu zeigen", sagt Felix-Matthias Walter, globaler Leiter Service Solutions bei MAHLE Lifecycle and Mobility.

Der delegierte Rechtsakt, genauer zur Typgenehmigungsverordnung und dem dortigen Anhang 10, soll zum Ende des dritten Quartals 2025 finalisiert werden. Eine Übergangszeit zur Implementierung – wie auch die Frage, welche Fahrzeuge im Markt betroffen sind – wird noch diskutiert.

Voller Zugriff – garantiert

MAHLE hatte schon früh mit dem MAHLE Cybersecurity Pass eine Lösung zur Implementierung der Sperren für die Diagnosegeräte MAHLE TechPRO® und CONNEX entwickelt, um regulär und vollumfänglich auf die Fahrzeugsysteme zugreifen zu können. Mittlerweile deckt der MAHLE Cyber Security Pass die Top 5 Automarken in Europa ab: VAG, Mercedes, BMW, FCA/Maserati und Renault. 

Mehr dazu kannst du auch hier nachlesen.

Der MAHLE Cybersecurity Pass wird die neuen gesetzlichen Anforderungen schnellstmöglich umsetzen, damit Werkstätten auch weiterhin cybersicherheitsrelevante Reparaturen durchführen können.

Weitere Themen