Die Basis: Was ist SFD?

SFD steht für "Schutz der Fahrzeug-Diagnose" (im Englischen Protection of Vehicle Diagnostics). Stellen Sie sich das wie eine elektronische Firewall vor, die speziell für die Diagnoseschnittstelle Ihres Fahrzeugs entwickelt wurde.

Einführung und Zweck:

Dieses Sicherheitskonzept wurde vom VAG Konzern ab dem Jahr 2019 mit der Markteinführung des VW Golf 8 (basierend auf der neuen MQBevo Plattform) eingeführt. Es ist die Antwort des Herstellers auf die zunehmende Vernetzung und Digitalisierung von Fahrzeugen. Das Hauptziel von SFD ist es, die Fahrzeugsoftware vor Missbrauch und nicht autorisierten Manipulationen zu schützen, was wiederum die Sicherheit der Fahrzeuginsassen und die Integrität des Gesamtsystems gewährleisten soll.

Was wird geschützt?: SFD schützt keine Standard-Diagnosefunktionen. Das Auslesen des Fehlerspeichers, das Anzeigen von Messwerten oder die Erstellung eines Auto-Scans sind weiterhin ohne Einschränkungen möglich. Der Schutz greift erst bei erweiterten Funktionen, die das Systemverhalten verändern, wie z.B.:

* Codierungen von Steuergeräten

* Anpassungen (Adaptionen)

* Grundeinstellungen

* Stellgliedtests.

Das alte Sicherheitskonzept mit festen Login- und Zugriffscodes wird durch SFD abgelöst.

Die beiden Schutzstufen: SFD 1 und SFD 2

Der SFD wurde in zwei aufeinander aufbauenden Stufen eingeführt. Es ist wichtig zu wissen, dass SFD2 SFD1 nicht ersetzt, sondern eine zusätzliche Sicherheitsebene darstellt.

SFD 1 (auch als "SFD" bezeichnet)

Dies ist die erste Implementierungsstufe.

Zeitraum und Plattformen: Hauptsächlich bei Fahrzeugen der Modelljahre 2020 bis etwa 2023/2024 zu finden, auf Plattformen wie MQB Evo, MEB (die Elektro-Plattform) und MLBevo.

Funktionsweise: Dieses Verfahren ersetzt die alten Logins. Um erweiterte Funktionen durchzuführen, muss sich das Diagnosegerät gegenüber dem Fahrzeug authentisieren. Dies geschieht in der Regel durch eine Online-Anfrage an einen VW-Server, der ein zeitlich begrenztes Token (Freischaltcode) zurücksendet.

Betroffene Systeme: Neben dem Gateway selbst sind besonders Steuergeräte wie die Bremsenelektronik (03), die Zentralelektrik (09), der Airbag (15) und der Schalttafeleinsatz (17) durch SFD1 geschützt.

SFD 2 (auch als "SFD2" bekannt)

Dies ist die verschärfte und erweiterte Form des Fahrzeug-Diagnoseschutzes.

Regulatorischer Hintergrund: SFD2 wurde primär eingeführt, um die neuen gesetzlichen Anforderungen der UN/ECE-Regelungen R155 und R156 zu erfüllen. Diese UN-Regelungen schreiben vor, dass Hersteller Cybersicherheits-Managementsysteme einführen und sicherstellen müssen, dass alle Änderungen an der Fahrzeugsoftware nachvollziehbar und autorisiert sind.

Zeitraum und Plattformen: SFD2 wird ab ca. 2024 in neuen Modellen eingesetzt und wird schrittweise auf aktuelle Plattformen wie MQBevo, MEB, MLBevo und die neue PPC-Plattform (Premium Platform Combustion) ausgeweitet.

Technische Umsetzung – Der entscheidende Unterschied: Der Kernunterschied liegt in der zusätzlichen kryptografischen Signatur. Bei SFD2 reicht eine einfache Online-Freischaltung nicht mehr aus. Jegliche schreibende Zugriffe (Codierung, Anpassungen, Updates) müssen nun digital signiert sein. Dies bedeutet, dass selbst nach einer erfolgreichen SFD-Freischaltung für jeden einzelnen Schreibvorgang eine gültige, vom Hersteller signierte Berechtigung vorliegen muss. Diese zusätzliche Hürde macht Manipulationen wie das Aktivieren von nicht von Haus aus freigeschalteten Funktionen (Retrofits) außerordentlich schwierig.

Das Security Gateway (SGW) ist ein zentrales Sicherheitsmodul, das die Fahrzeugelektronik moderner Automobile vor unbefugten Zugriffen schützt. Im FCA-Konzern (Fiat Chrysler Automobiles) wurde es als Reaktion auf die zunehmende Vernetzung von Fahrzeugen eingeführt, um kritische Systeme vor Manipulationen zu bewahren und gleichzeitig den gesetzlichen Anforderungen an die Cybersicherheit zu genügen.

Der FCA-Konzern begann im Sommer 2018 mit der schrittweisen Implementierung des SGW. Zunächst wurde das Modul in ausgewählten Modellen mit neuer Elektronikarchitektur eingeführt, bevor es ab 2020 serienmäßig in allen neuen Fahrzeugen des Konzerns verbaut wurde. Heute ist das SGW in nahezu allen Fahrzeugen der ehemaligen FCA-Marken verbaut, darunter Fiat, Alfa Romeo, Jeep, Chrysler, Dodge und RAM. (Seit der Fusion von FCA und PSA im Jahr 2021 ist Stellantis der Mutterkonzern.)

Das SGW fungiert im Wesentlichen wie eine digitale Firewall zwischen dem OBD-Diagnosestecker und den internen Fahrzeugnetzwerken. Es filtert alle ein- und ausgehenden Daten und erlaubt nur autorisierten Werkzeugen den Zugriff auf sicherheitsrelevante Steuergeräte. Diese Absicherung dient drei Hauptzwecken:

1. Cybersicherheit: Das SGW blockiert unautorisierte Zugriffe auf kritische Fahrzeugfunktionen wie Bremsen, Lenkung oder Motor. Dadurch wird verhindert, dass Schadsoftware oder unbefugte Dritte das Fahrzeug gefährden können. Die Einführung war eine direkte Reaktion auf die zunehmende Vernetzung der Fahrzeuge (z.B. durch Over-the-Air-Updates).

2. Schutz vor unbefugten Eingriffen: Ohne eine entsprechende Authentifizierung können keine tiefgreifenden Diagnosen durchgeführt werden. Das bedeutet, dass Fehlercodes nicht mehr einfach gelöscht oder Steuergeräte-Programmierungen ohne Berechtigung vorgenommen werden können.

3. Einhaltung gesetzlicher Vorschriften: Das SGW wurde auch entwickelt, um neue, strenge Cybersicherheitsstandards wie die ISO/SAE 21434 zu erfüllen, die für alle neu entwickelten Fahrzeuge verbindlich sind.

Optionen für den Zugriff: Werkstätten haben im Wesentlichen drei Möglichkeiten, um Fahrzeuge mit SGW zu diagnostizieren:

1. Zertifizierte Diagnosegeräte: Der einfachste und sicherste Weg ist der Einsatz von Diagnosegeräten, die eine SGW Freischaltung unterstützen. Nach der Registrierung fragt das Gerät bei Bedarf automatisch die Login-Daten ab.

2. Hardware-Bypass: Eine Alternative ist der physische Einbau eines "Bypass-Kabels" zwischen dem SGW-Modul und dem Fahrzeugnetzwerk. Dies umgeht die Sicherheitsfunktion, beeinträchtigt aber die Cybersicherheit des Fahrzeugs und wird daher eher als letzte Option empfohlen.

3. Vertragswerkstatt: Die ursprüngliche und problemloseste, aber oft teuerste Möglichkeit ist der Besuch einer Vertragswerkstatt, die ohnehin über die notwendigen Zugriffsberechtigungen verfügt.einer spezifischen Diagnoselösung benötigst, lass es mich einfach wissen.