Aus für Tacho-Trickser
EU-Richtlinie gegen Tachomanipulation
Automobilhersteller sind seit September europaweit dazu verpflichtet, die Integrität von Kilometerständen sicherzustellen. Das Zurückdrehen des Tachos soll danach nicht mehr so einfach möglich sein.
Neue Fahrzeugmodelle müssen seit dem 1. September „systematische Techniken“ einsetzen, um die Integrität des Kilometerstands zu sichern. Eine europäische Verwaltungsvorschrift für die EG-Typgenehmigung (2017/1151) schreibt den Automobilherstellern den Einbau von manipulationssicheren Wegstreckenzählern vor. Von Manipulationen des Gesamtkilometerstandes sind nach Schätzungen der Europäischen Kommission bis zu 12 Prozent alle Gebrauchtwagengeschäfte betroffen, bei grenzüberschreitenden Geschäften sollen es sogar bis zu 50 Prozent sein. Aufgrund von Ermittlungsergebnissen geht die Polizei davon aus, dass in Deutschland jeder dritte Gebrauchtwagen mit einem nach unten gedrehten Kilometerstand angeboten wird – im Jahr würden rund zwei Millionen Fahrzeuge manipuliert. Europaweit verursachen Tachomanipulationen jährlich einen Schaden bis zu 9,6 Mrd. Euro. Nach Recherchen des ADAC zahlt der Käufer eines Gebrauchtwagens im Schnitt 3000 Euro zu viel.
Tacho-Manipulationsgeräte, die man an die On-Board-Diagnose-Buchse schließt, sind ab 150 Euro frei erhältlich. Die Manipulation hinterlässt keine mechanischen Spuren, da die Tachos oder Steuergeräte nicht mehr ausgebaut werden müssen. Ein Anbieter wirbt damit, dass Kilometerstände in „bis zu 87 Steuergeräten“ überschrieben werden können.
Wichtiger Referenzwert
Lange Zeit sah es nicht danach aus, dass die Politik die Automobilhersteller zu einem systematischen Manipulationsschutz verpflichten würde. Doch ausgerechnet der Dieselskandal hat Bewegung in die Sache gebracht: Weil Kilometerstände auch bei umweltrelevanten Vorgaben eine Rolle spielen, entschloss man sich in Brüssel zu einem raschen Handeln. Kilometerstände dienen nämlich nicht nur der Bewertung des Verkaufswerts eines Gebrauchtwagens, sondern auch als Referenzwert in sicherheits- und umweltrelevanten Bauteilen: In der EU riskiert der Fahrer eine Panne oder einen Motorschaden, wenn er Fehlermeldungen seines Fahrzeugs ignoriert. In den USA muss er zusätzlich mit einem Bußgeld rechnen. Auch diese Fehlermeldungen sind oftmals an den Kilometerstand gekoppelt.
Ein korrekter Kilometerstand ist auch aus Umweltaspekten wichtig: Die Motorsoftware nutzt ihn, um zu ermitteln, ob etwa eine Tankfüllung mit AdBlue zur Neige geht oder der Partikelfilter in den Regenerationsmodus fallen soll. Eine Fehlangabe kann dazu führen, dass die Abgasreinigung nicht effektiv arbeitet.
Überdies sind Hersteller nur bis zu einem Kilometerstand von 160 000 Kilometern dafür verantwortlich, dass ein Fahrzeug die Anforderungen der Typgenehmigung einhält. Wenn Aufsichtsbehörden künftig im Feld Emissionen messen, könnte der Hersteller sich mit dem Verweis auf einen manipulierbaren Kilometerstand aus der Affäre ziehen – und der Kunde müsste die Folgen ausbaden. Aus diesen Gründen sah die EU-Kommission jetzt raschen Handlungsbedarf, nachdem man Jahrzehnte auf die Selbstregulierung der Autohersteller gesetzt hatte.
Datenbankauskunft ohne Gewähr
Die Unionsparteien setzten sich bis vor Kurzem noch dafür ein, das Problem über die Einführung von Kilometerstands-Datenbanken zu lösen. Die CDU-Bundestagsabgeordnete Mechthild Heil verweist darauf, dass die Einführung entsprechender Datenbanken in Belgien und den Niederlanden die Manipulationsfälle deutlich reduzieren konnten.
Der ADAC konnte jedoch nachweisen, dass es trotzdem zu Betrugsfällen kommen kann. So zeigte eine niederländische Kilometer-Datenbank beim Testkauf eines BMW 330xd einen Kilometerstand von knapp 120 000 Kilometer an. Doch nach einem Motorschaden entdeckte die Markenwerkstatt in der Reparatur-Historie, dass der Wagen schon drei Jahre zuvor einen Kilometerstand von 180 000 Kilometern gehabt hatte, um später mit 140 000 Kilometer weniger in die Niederlande verkauft zu werden. Die Ausgangs- und Endwerte waren in der Kilometer-Datenbank falsch vermerkt worden.
Viele Datenbank-Anbieter, die Zertifikate für Kilometerstände ausgeben, sichern sich gegen versehentlich falsch angegebene Kilometerstände juristisch ab. Dem Kunden ist wenig damit gedient, wenn sich im Falle einer Falschangabe niemand greifen lässt und erst recht keiner haftet. Viele Datenbank-Eintragungen beginnen zudem erst mit der ersten Hauptuntersuchung, bei der das Fahrzeug bereits drei Jahre alt ist. Jeder Datenbankabruf kostet den Kunden zwischen 10 und 20 Euro. Eine einmalige technische Absicherung etwa durch im Fahrzeug verbaute Hardware käme laut ADAC deutlich billiger.
Verschlüsselte Kilometerstände
Zum Einsatz könnten Sicherheits-Chips und Schlüssel-Datenbanken kommen, wie sie Hersteller wie Freescale, Infineon oder Renesas schon seit Jahren anbieten. So sind sogenannte Hardware-Security-Module (HSM), die in Standard-Mikrocontrollern integriert werden, längst serienmäßig verfügbar. Dabei handelt es sich um einen Chip mit symmetrischer AES-Verschlüsselung samt Schlüsselgenerierung und -management, den man im Automotive-Chip integriert. In die Chip-Hardware ist eine Firewall implementiert, die die ankommenden Daten überprüft und die bestehenden Daten vor nichtautorisiertem Überschreiben schützt.
Im Auto wird der Kilometerstand über die Bewegung der Räder erfasst. Die zurückgelegte Wegstrecke wird laufend in einem Flash-Baustein gespeichert. Am Ende des Fahrzyklus werden die Daten im SRAM des HSM mit einer Checksumme versehen, mit einem HSM-eigenen Schlüssel verschlüsselt und anschließend gespeichert. Die Speicherinhalte lassen sich über ein On-Board-Diagnose-Geräte (OBD) auslesen und mit dem auf dem Armaturenbrett angezeigten Wert abgleichen.
Bisher war der Manipulationsschutz nicht verpflichtend, daher haben ihn die Fahrzeughersteller nicht umgesetzt. ADAC-Sprecher Christian Buric sagt: „Bisher hat der ADAC noch kein Fahrzeug gefunden, dessen Kilometerstand sich nicht betrügerisch verändern ließ.“ Der Grund liegt wohl einfach darin, dass den Herstellern selbst aus den manipulierten Kilometerständen kein unmittelbarer Nachteil entsteht.
Die neue Lösung
Der ADAC hat zusammen mit Fahrzeugherstellern bereits 2014 Meilensteine für die Entwicklung eines Schutzprofils für eine Hardware-Lösung entwickelt, das international Anwendung finden könnte. Ziel der neuen technischen Lösung ist es, dass der im Armaturenbrett angezeigte Gesamtkilometerstand die tatsächliche Fahrleistung sämtlicher Fahrten anzeigt. Die gespeicherten Werte dürfen dabei auf keinen Fall verringert oder auf null gesetzt werden.
Wenn das Anzeigegerät die Wegstreckendaten abfragt, meldet der Wegstreckenspeicher die im Bordcomputer berechnete und aktualisierte Fahrleistung an das Anzeigengerät. Dieser Vorgang muss so gesichert erfolgen können, dass ein Manipulationsversuch zu zeit- und kostenintensiv wäre, als dass er sich lohnen würde. Auch der komplette Austausch der Tachoeinheit und des Subsystems für die Wegstreckenspeicherung darf nicht zu einem verfälschten Kilometerstand führen. Im Falle eines Tachoaustauschs müsste man den alten Kilometerstand in die Fahrzeugpapiere eintragen. Auf dem Armaturenbrett würde er bei einem neuen Gerät wieder „Null“ anzeigen – jede Veränderungsmöglichkeit würde sonst neuen Manipulationen Tür und Tor öffnen. Chipexperte Marcus Janke von Infineon weiß aus Gesprächen mit Automobilherstellern: „Dieses Grundkonzept haben die Hersteller gut verstanden. Im Prinzip kann jeder das technisch so umsetzen, wie es in sein Systemkonzept passt.“
Ein Euro
Von einem wirklichen Kostenfaktor für die Hersteller kann nach Angaben des ADAC keine Rede sein. Der Club rechnete das vor zwei Jahren beispielhaft durch: Das HSM als Teil des Mikrocontrollers kommt demnach auf 30 Cent, eine spezielle Anwendungssoftware für den Tachoschutz im HSM auf 12 Cent und die Verwaltung von fahrzeugspezifischen Schlüsseln beim Fahrzeughersteller auf rund 57 Cent. Damit wäre der Tachoschutz in Summe für rund einen Euro pro Fahrzeug zu haben.
Inzwischen sind HSMs in vielen Automotive-CPUs ohnehin enthalten und die Hersteller pflegen verschiedene Schlüsseldatenbanken, die sie für das autonome Fahren, gegen Chiptuning und gegen Autodiebstahl benötigen. Die Kosten lassen sich heute daher oft auf reine Softwarekosten reduzieren. Gleichwohl setzten die Hersteller die HSMs bislang nicht für den Schutz des Kilometerstandes ein – im Gegenteil, wie eine Studie der Arbeitsgruppe „Multimedia and Security“ an der Universität Magdeburg im Auftrag des ADAC zeigte: In den Tachos sind oftmals sogar konkrete Befehle verankert, die das Manipulieren des Kilometerstandes erlauben, um unter Umständen längere Probefahrten im Werk löschen zu können. Auch irrtümlich als defekt eingeschickte oder wiederaufbereitete Tachos lassen sich so als Ersatzteile verkaufen.
Zertifizierung mit Leuchtturmfunktion
Mit der Umsetzung der europäischen Regelung muss nun sichergestellt werden, dass die technischen Maßnahmen gegen die Tachomanipulation von den Herstellern umgesetzt werden – und dies von den Aufsichtsbehörden bei der Typgenehmigung auch kontrolliert wird. Der ADAC schlägt hierzu vor, dass ein Gesetz künftig einen durch Dritte zertifizierten Nachweis für einen wirksamen Manipulationsschutz explizit vorschreibt. Zusammen mit dem Dachverband der europäischen Automobilclubs FIA hat er deshalb einen Vorschlag für eine weltweit gültige Typgenehmigung durch die United Nations Economic Commission for Europe (UNECE) erarbeitet. Damit müssten sich alle Hersteller an dieselben Sicherheitsstandards halten. Eine neutrale Stelle wie beispielsweise das BSI könnte die Zertifizierung nach Common Criteria durchführen. Der internationale Standard bietet einen definierten Rahmen, um die Sicherheitseigenschaften von IT-Produkten zu prüfen und zu bewerten.
Selbst das Überprüfungsverfahren ließe sich nach ISO 15408 standardisieren. Damit ließen sich die in den jeweiligen technischen Lösungen verfolgten Sicherheitsziele und Schutzklassen mit einem einheitlichen Schutzprofil abgleichen. Common Criteria setzt man bereits bei Smart Metern für die Haushalts-Stromversorgung ein, um Sicherheits- und Datenschutzziele zu erfüllen. Der Vorteil besteht darin, dass es international bereits viele Prüfstellen gibt, die nach dem einheitlichen Kriterienkatalog der Common Criteria prüfen, darunter auch das Bundesamt für Sicherheit in der Informationstechnik (BSI).
BSI-Präsident Arne Schönbohm verweist gegenüber c’t auf den „Digitalen Tachographen“ in LKWs, für den es eine auf Common Criteria basierende IT-Sicherheitstechnik seit über zehn Jahren gebe. Das entsprechende Verfahren dafür sei bei den europäischen Zertifizierungs- und Zulassungsbehörden längst etabliert. Schönbohm sagt daher: „Eine Anpassung der technischen Anforderungen und Prüfverfahren für ein vergleichbares Vorgehen bei PKW ist aus Sicht des BSI möglich und sinnvoll.“
Die Zertifizierung des Wegstreckenzählers wäre für die Automobilindustrie im PKW-Bereich die erste Security-Zertifizierung und insofern wegbereitend für künftige Anwendungen im Bereich Car2Car- und Car2-X-Kommunikation. Nicht nur die Käufer und Zulassungsbehörden, auch die Fahrzeughersteller könnten von einer unabhängigen Prüfung profitieren. Denn sie würde auch den jeweiligen Entwicklungsabteilungen eine Rückmeldung geben, wo zu wenig oder auch zu viel in Sachen IT-Sicherheit unternommen wurde.
Für CDU-Politikerin Heil, eigentlich Befürworterin der Datenbanklösung, zählt nur das Endergebnis: „Egal ob Kilometerstands-Datenbank oder Zertifizierung von HSM-Modulen oder gar beides zusammen – Hauptsache, wir bewegen uns.“ Sie sieht in der Zertifizierung unabhängig vom Tachobetrug ein Thema, das unweigerlich auf die Branche zukomme – Stichwort „autonomes Fahren“. Auch von anderer Seite kommt frischer Wind: Die EU-Kommission will ein europaweites Zertifizierungsverfahren für IT-Systeme und -Produkte einführen. Zunächst solle es allerdings freiwillig sein. (sha@ct.de)