· Nils Dietrich DiagnoseFahrzeugelektrikSteuergerät

Security Gateway: Warum viele Werkstätten an modernen Fahrzeugen scheitern

Moderne Fahrzeuge blockieren Diagnose und Programmierung per Security Gateway. Erfahren Sie, welche Hersteller betroffen sind und warum autorisierter Zugang entscheidend ist.

Security Gateway: Warum viele Werkstätten an modernen Fahrzeugen scheitern

Ein Kunde kommt mit seinem Fiat 500 Baujahr 2020 in eine freie Werkstatt. Die Motorkontrollleuchte leuchtet. Der Mechaniker schließt sein Diagnosegerät an den OBD-Stecker an – und bekommt nichts. Keine Fehlercodes, keine Live-Daten, keine Kommunikation mit den Steuergeräten. Das Gerät erkennt das Fahrzeug, stellt eine Verbindung her, doch die Antwort bleibt aus. Der Grund: ein Security Gateway.

Was wie ein Softwarefehler aussieht, ist ein bewusst implementierter Schutzmechanismus. Und er betrifft längst nicht nur Fiat. Das Security Gateway wird in den kommenden Jahren zur größten Herausforderung für unabhängige Werkstätten – sofern sie nicht in die entsprechende Infrastruktur investieren.

Was ist ein Security Gateway?

Ein Security Gateway (SGW) ist ein elektronisches Schutzmodul, das zwischen dem OBD-Diagnosestecker und den internen Fahrzeugnetzwerken sitzt. Es fungiert als Firewall: Jeder externe Zugriff auf die Steuergeräte muss zunächst authentifiziert und autorisiert werden, bevor eine Kommunikation stattfinden kann.

Ohne gültige Autorisierung blockiert das SGW sämtliche Schreibzugriffe und in vielen Fällen sogar Lesezugriffe auf die CAN-Bus-Netzwerke des Fahrzeugs. Das bedeutet:

  • Keine Fehlercode-Auslesung aus relevanten Steuergeräten
  • Kein Löschen von Fehlerspeichern
  • Keine Codierung oder Anpassung von Steuergeräten
  • Keine Programmierung oder Software-Updates
  • Kein Stellgliedtest zur Fehlereingrenzung
  • Keine Kalibrierung von Assistenzsystemen

Das Diagnosegerät zeigt in solchen Fällen entweder gar keine Daten oder nur oberflächliche Informationen, die für eine fundierte Diagnose nicht ausreichen.

Warum gibt es das Security Gateway?

Die Einführung von Security Gateways ist keine Schikane der Hersteller gegenüber freien Werkstätten. Der Hintergrund ist die zunehmende Vernetzung moderner Fahrzeuge und die daraus resultierende Angriffsfläche für Cyberkriminalität.

Fahrzeuge kommunizieren heute über Mobilfunk, WLAN und Bluetooth mit der Außenwelt. Steuergeräte für Motor, Getriebe, Lenkung und Bremsen sind über interne Netzwerke miteinander verbunden. Ein ungeschützter OBD-Zugang öffnet potenziell eine Tür zu sicherheitsrelevanten Systemen – von der Motorsteuerung bis zur elektrischen Lenkung.

Die UN-Regelung Nr. 155 (UNECE R155) verpflichtet alle Fahrzeughersteller seit Juli 2022 für neue Typzulassungen und seit Juli 2024 für alle Neufahrzeuge zur Implementierung eines Cybersecurity-Management-Systems. Das Security Gateway ist eine direkte Konsequenz dieser gesetzlichen Anforderung. Es schützt das Fahrzeug vor:

  • Unbefugtem Zugriff über den OBD-Stecker (z. B. Diebstahl durch Schlüsselprogrammierung)
  • Manipulation von sicherheitsrelevanten Steuergeräten
  • Kilometerstandfälschung durch Schreibzugriff auf das Kombiinstrument
  • Illegaler Chiptuning-Software, die Abgaswerte verfälscht

Die Intention ist nachvollziehbar und im Sinne des Fahrzeughalters. Die Herausforderung liegt in der praktischen Umsetzung für den unabhängigen Aftermarket.

Welche Hersteller setzen auf Security Gateways?

Die Liste der betroffenen Hersteller wächst mit jedem Modelljahr. Hier ein Überblick über die wichtigsten Marken und den aktuellen Stand:

FCA / Stellantis (seit 2018)

Fiat Chrysler Automobiles – heute Stellantis – war einer der ersten Konzerne, der ein Security Gateway flächendeckend einführte. Betroffen sind:

  • Fiat: 500, Panda, Tipo, Ducato (ab ca. 2018)
  • Alfa Romeo: Giulia, Stelvio
  • Jeep: Renegade, Compass, Wrangler
  • Peugeot, Citroën, Opel, DS: neuere Modelle unter Stellantis-Plattformen

Besonders im Bereich der Nutzfahrzeuge (Fiat Ducato als Wohnmobil-Basis) sorgt das SGW regelmäßig für Probleme, da viele Aufbauer und Werkstätten den Zugang nicht besitzen.

Hyundai / Kia / Genesis

Der koreanische Konzern setzt bei neueren Modellgenerationen ebenfalls auf ein Security Gateway. Betroffen sind unter anderem:

  • Hyundai: Tucson, Ioniq 5, Kona (neuere Generationen)
  • Kia: Sportage, EV6, Ceed (neuere Generationen)

Der Zugang erfolgt über das herstellereigene System oder über autorisierte Drittanbieter-Lösungen.

Renault / Dacia / Nissan

Die Renault-Gruppe implementiert in neueren Fahrzeugen ein Sicherheitskonzept, das den Diagnosezugang einschränkt. Besonders betroffen sind Fahrzeuge auf der CMF-B- und CMF-CD-Plattform.

Mercedes-Benz

Mercedes-Benz setzt seit der aktuellen MBUX-Generation auf verschärfte Zugangsbeschränkungen. Für die herstellerspezifische Diagnose ist der Zugang über XENTRY mit entsprechender Zertifizierung erforderlich. KFZ Dietrich verfügt als eine von wenigen unabhängigen Werkstätten in der Region über diesen offiziellen Zugang.

BMW / Mini

BMW implementiert in neueren Modellen mit dem ISTA-System ebenfalls Zugangsbeschränkungen. Die Programmierung von Steuergeräten und bestimmte Codierungen erfordern eine authentifizierte Verbindung über das BMW-Serverbackend. Auch hier besitzt KFZ Dietrich den vollständigen ISTA-Zugang.

Volkswagen-Konzern (VW, Audi, Škoda, Seat, Cupra)

Der VW-Konzern implementiert seine Sicherheitsarchitektur sukzessive in neueren Modellgenerationen. Bestimmte Programmier- und Codierungsfunktionen sind nur mit autorisiertem ODIS-Zugang möglich – den KFZ Dietrich ebenfalls besitzt.

Was passiert in der Praxis ohne SGW-Zugang?

Zurück zu unserem Fiat-500-Kunden. Die erste Werkstatt konnte das Fahrzeug nicht diagnostizieren. Der Kunde wurde weitergeschickt – zunächst zum Vertragshändler, der einen Termin in drei Wochen anbot. Die Motorkontrollleuchte leuchtete weiter, der Kunde fuhr weiter, unsicher, ob das Fahrzeug ein ernstes Problem hatte.

Als der Kunde zu uns kam, stellten wir zunächst die Verbindung über unser autorisiertes SGW-Zugangssystem her. Innerhalb weniger Minuten kommunizierten wir mit allen relevanten Steuergeräten. Das Ergebnis: ein defekter Kurbelwellensensor, der sporadisch falsche Signale lieferte. Ein klar eingrenzbares Problem, eine gezielte Instandsetzung – ohne wochenlange Wartezeit.

Dieses Szenario wiederholt sich regelmäßig. Die Symptome variieren, das Grundproblem bleibt: Ohne SGW-Zugang ist eine freie Werkstatt bei betroffenen Fahrzeugen handlungsunfähig.

Typische Situationen, in denen Werkstätten ohne SGW-Zugang scheitern:

  • Fehlersuche nach Warnleuchte: Keine Kommunikation mit dem betroffenen Steuergerät möglich
  • Servicearbeiten mit Reset-Bedarf: Service-Intervallrückstellung blockiert
  • Bremsbelagwechsel bei EPB: Elektrische Parkbremse lässt sich nicht in Serviceposition bringen
  • Klimaservice: Kompressoransteuerung über SGW gesperrt
  • Reifendrucksensor-Anlernung: RDKS-Module nicht beschreibbar

Wie KFZ Dietrich das Problem löst

Wir haben frühzeitig erkannt, dass das Security Gateway die Trennlinie zwischen zukunftsfähigen und eingeschränkten Werkstätten definieren wird. Deshalb haben wir in eine umfassende Diagnose-Infrastruktur investiert, die den autorisierten Zugang für über 20 Fahrzeughersteller abdeckt.

Herstellerspezifische Diagnosesysteme

Für die drei großen deutschen Premiumhersteller setzen wir auf die identischen Systeme, die auch in den Vertragswerkstätten zum Einsatz kommen:

  • XENTRY für Mercedes-Benz – vollständige Diagnose, Codierung und Programmierung
  • ODIS für den gesamten VW-Konzern (VW, Audi, Škoda, Seat, Cupra) – inklusive Online-Programmierung
  • ISTA für BMW und Mini – inklusive Steuergeräte-Programmierung

Professionelle Mehrmarken-Diagnosesysteme mit SGW-Zugang

Für alle weiteren Hersteller setzen wir auf professionelle Diagnosesysteme, die über autorisierte Security-Gateway-Zugänge verfügen:

  • Bosch SDA (Secure Diagnostic Access) – der Bosch-eigene Zugangsservice, der eine authentifizierte Kommunikation mit SGW-geschützten Fahrzeugen zahlreicher Hersteller ermöglicht
  • Gutmann CSM (Cyber Security Management) – die Lösung von Hella Gutmann für den autorisierten Zugang zu SGW-geschützten Steuergeräten
  • Launch SGW – der Security-Gateway-Zugang des Diagnosesystem-Herstellers Launch, der einen breiten Herstellerbereich abdeckt

Diese Systeme ergänzen unsere herstellerspezifischen Lösungen und stellen sicher, dass wir auch bei Stellantis, Hyundai, Kia, Renault, Dacia und zahlreichen weiteren Marken vollständigen Diagnosezugang besitzen.

SERMI-Zertifizierung für sicherheitsrelevante Arbeiten

Zusätzlich zu den technischen Zugangslösungen sind wir über SERMA nach dem europäischen SERMI-Standard (Security-Related Repair and Maintenance Information) zertifiziert. Seit April 2024 ist diese Zertifizierung Voraussetzung für den Zugang zu diebstahl- und sicherheitsrelevanten Fahrzeugdaten – unabhängig vom Hersteller.

Was bedeutet das konkret? Ohne SERMI-Zertifizierung darf eine freie Werkstatt keine Arbeiten an folgenden Systemen durchführen:

  • Wegfahrsperren: Programmierung, Anlernung, Austausch
  • Schlüsselsysteme: Neue Schlüssel anlernen, Transponder programmieren
  • Airbag-Steuergeräte: Fehlerspeicher löschen nach Auslösung, Crash-Reset
  • Diebstahlschutzsysteme: Alarmanlage, Neigungssensor, Innenraumüberwachung

Die SERMI-Zertifizierung erfordert eine Überprüfung des Betriebs, polizeiliche Führungszeugnisse der Mitarbeiter und die Einhaltung strenger Dokumentationspflichten. Sie wird alle fünf Jahre erneuert und dokumentiert, dass unser Betrieb vertrauenswürdig und qualifiziert für sicherheitskritische Arbeiten ist.

Was bedeutet das für Sie als Fahrzeughalter?

Wenn Sie ein Fahrzeug ab Baujahr 2018 oder neuer besitzen, ist die Wahrscheinlichkeit hoch, dass Ihr Fahrzeug über ein Security Gateway verfügt. Das hat konkrete Auswirkungen auf Ihre Werkstattwahl:

Fragen Sie Ihre Werkstatt vor dem Termin, ob sie über SGW-Zugang für Ihr Fahrzeug verfügt. Eine seriöse Werkstatt wird Ihnen diese Frage ehrlich beantworten. Eine Werkstatt, die das Thema nicht kennt oder herunterspielt, wird im Zweifelsfall vor einem verschlossenen System stehen – und Sie weiterverweisen müssen.

Bei KFZ Dietrich ist der SGW-Zugang für über 20 Hersteller gesichert. Sie erhalten die gleiche Diagnosetiefe wie beim Vertragshändler – mit der persönlichen Betreuung und Transparenz eines unabhängigen Meisterbetriebs.

Die Zukunft: Security Gateways werden Standard

Mit der verpflichtenden Umsetzung der UNECE R155 für alle Neufahrzeuge seit Juli 2024 wird das Security Gateway zum Standard in der gesamten Automobilindustrie. Jedes neue Fahrzeug, das heute zugelassen wird, verfügt über eine Form der Cybersecurity-Absicherung.

Für Werkstätten bedeutet das: Die Investition in autorisierte Zugangssysteme ist keine Option mehr, sondern eine Grundvoraussetzung für die Arbeit an modernen Fahrzeugen. Für Fahrzeughalter bedeutet es: Die Wahl der richtigen Werkstatt wird zunehmend davon bestimmt, ob diese Werkstatt in der Lage ist, mit Ihrem Fahrzeug überhaupt zu kommunizieren.

Weiterführende Informationen:

WhatsApp