SERMA – Datenzugang und Sicherheit
Der Zugang zu sicherheits- und diebstahl-relevanten Fahrzeuginformationen sowie RMI muss für freie Kfz-Betriebe gewährleistet sein. SERMA schafft die Voraussetzung, Cyber-Security-Maßnahmen kommen hinzu.
Was die IT-Infrastruktur in Unternehmen angeht, behält sich der Systemadministrator entsprechende „Masterrechte“ und Schutzmechanismen vor. Kein anderer Mitarbeiter kann eine neue Hardware hinzufügen, auf sensible Daten zugreifen, eine Software installieren oder ein Update fahren. Das hat gute Gründe. Das Netzwerk, jeder einzelne Computer, soll gegen schädliche Software, vor Fehlfunktionen oder gar unerlaubten Fremdzugriffen geschützt werden. Auch moderne Kraftfahrzeuge verfügen über unzählige kleine Computer, sprich Steuergeräte, die individuelle, teils hochkomplexe Aufgaben erfüllen. Und sie sind vernetzt, kommunizieren miteinander, die Fahrzeuge sammeln sensible Daten. Freie Kfz-Werkstätten benötigen jedoch technische Hintergrundinformationen sowie Zugriffsrechte, um ihrer Arbeit nachzugehen.
Nur wer autorisiert ist hat Zugriff!
Ein Kfz-Service-Profi in der Werkstatt ist durchaus mit einem Systemadministrator zu vergleichen. Geht es im Tagesgeschäft um mechanische Probleme, Getriebe, Kupplung, Bremsen, die durch qualifizierte Mechatroniker(innen) behoben werden, rückt das „Anlernen“ oder „Zurücksetzen“ der Hardware, die Software im Allgemeinen sowie der Zugangsschutz immer mehr in den Vordergrund. Grundsätzlich gilt, dass laut EU-Verordnung 2018/858 Fahrzeughersteller freien Kfz-Betrieben Zugang zu sämtlichen relevanten Daten und Funktionen gewähren müssen, um ein Kraftfahrzeug auch entsprechend warten und reparieren zu können. Dazu gehören auch Software-Updates. Es darf kein Wettbewerbsnachteil zwischen marken- und markenunabhängigen Betrieben entstehen.
SERMA: Endlich eine einheitliche Zugangslösung
Damit jedoch nur autorisierte und qualifizierte Personen einen geschützten Zugang zu entsprechenden sicherheits- und diebstahl-relevanten Daten haben, ist seit dem 1.4.2024 der Zugriff auf Reparatur- und Wartungsinformationen (RMI, Repair- and Maintenance-Information) über die Herstellerportale gesperrt. Um nach dem Login dennoch Zugang zu entsprechenden Daten zu erhalten, benötigt man zusätzlich ein personalisiertes, elektronisches SERMA-Zertifikat. Sehr lange hat man über eine einheitliche Zugangslösung diskutiert. SERMA bietet sie jetzt.
In Schweden gilt die Regelung bereits seit dem 1. Oktober 2023. In Dänemark, Finnland und Norwegen seit dem 1. Februar 2024. Für Belgien, Deutschland, Luxemburg, den Niederlanden, Österreich, Portugal sowie Spanien war der 1. April der Starttermin. Weitere EU-Länder starteten zum 1.6. beziehungsweise erst zum 1.8.2024 mit dem SERMI-Verfahren.
Wer braucht eine SERMA-Zertifizierung?
SERMA (Secure-Repair and Maintenance-Authorization) ist die Konformitätsbewertungs-Instanz und steht für ein europaweit harmonisiertes Akkreditierungssystem, das unabhängigen Marktakteuren hilft, Fahrzeuge auf sichere Weise zu warten und zu reparieren. Dies gilt auch, wenn dabei die Sicherheitsmerkmale des Fahrzeugs (zum Beispiel durch Software-Updates) betroffen sind. Dabei ist SERMI (Secure-Repair and Maintenance-Information) quasi die europaweite Institution, die gegründet wurde, um das System und das Verfahren weiterzuentwickeln, zu betreiben und aufrechtzuerhalten. Die beiden Kürzel SERMA und SERMI werden meist synonym verwandt.
SERMA ist relevant für freie Kfz-Werkstätten, die mit der original Hersteller-Diagnose arbeiten, für Unternehmen, die einen Ferndiagnosedienst (Remote-Service) anbieten oder auch für Vertragswerkstätten, die andere Fahrzeugmarken reparieren. Aber auch für Hersteller oder Händler von Werkstattausrüstung, Werkzeugen oder Ersatzteilen, für Herausgeber von technischen Informationen oder Pannenhilfsdienste, für Anbieter von Inspektions- und Prüfdienstleistungen sowie für Aus- und Weiterbildungseinrichtungen ist SERMA ein Thema. Im Übrigen: Unternehmen, die Tuning-Maßnahmen durchführen, wie etwa Veränderungen an der Nennleistung des Motors oder am Emissionsverhalten, erhalten gemäß EU-Verordnung keine Zulassung für SERMA.
So funktioniert das Anmelde- und Prüfverfahren bei SERMA
Das elektronische Zertifikat bekommt man als Kfz-/Nfz-Betrieb, beziehungsweise als Kfz-Mechatroniker, nach einem Online-Antrag, beispielsweise über das Antragsportal der SERMA (https://register.serma.eu). Es gibt auch andere zertifizierte Dienstleister, wie KIWA oder die Global Network Group TIC, über die ein Antrag möglich ist. Benötigt werden auf jeden Fall ein Auszug aus dem Handelsregister, ein Nachweis einer betrieblichen Haftpflichtversicherung sowie entsprechend aktuelle Führungszeugnisse der jeweiligen Mitarbeiter(innen). Die Konformitäts-Bewertungsstelle SERMA, hat dann die Aufgabe den Antrag auf Zulassung und Autorisierung Ihrer Mitarbeiter(innen) zu überprüfen.
Fällt das Prüfergebnis positiv aus, erteilt SERMA die Zugangsberechtigung zu eben diesen diebstahl- und sicherheitsrelevanten Reparatur- und Wartungsinformationen (RMI). Die autorisierten Mitarbeiter(innen) erhalten ein personalisiertes, elektronisches Zertifikat über eine App (Digidentity-Wallet-App) direkt auf das Smartphone. Es ist fünf Jahre gültig. Das Prüfverfahren erfolgt gemäß dem EU-weiten SERMI-Schema und der Typgenehmigungsverordnung (EU) 2018/858.
Cyber-Security + Gateways
Ab Juli 2024 gilt für alle neu produzierten Fahrzeuge zusätzlich die EU-Richtlinie ECE R155 (Cyber-Security). Damit sind die Hersteller verpflichtet, ihre Fahrzeuge mit Hilfe eines Cyber-Security-Management-Systems (CSMS) gegen Sicherheitsrisiken über den gesamten Lebenszyklus abzusichern. Dafür sorgen unter anderem sogenannte Cyber-Security-Gateways der Hersteller, die den generellen Zugriff von außen auf die Steuergeräte verhindern.
Der Kfz-Betrieb hat mit dem SERMA-Zertifikat die Berechtigung für den Zugriff auf sicherheits- und diebstahl-relevante Daten über das Herstellerportal. Ist damit auch das Thema des Cyber-Security-Gateways erledigt? Nein, so die Experten von Hella Gutmann. Die beiden Sicherheitssperren seien getrennt voneinander zu betrachten. Deshalb habe man eigens die für Werkstätten kostenfreie Funktion „Cyber-Security-Management“ (CSM) in die Software der Diagnosetester der Mega Macs-Serie implementiert. Mit dieser Funktion kann auch eine Kommunikation mit gesicherten Fahrzeugen durch ein Security-Gateway erfolgen. Für etwaige Fälle zur Freischaltung von Komponenten hält Hella Gutmann den sogenannten „Remote-Service“ vor. Wenn man so will, verfügt man also mit dem SERMA-Zertifikat und der CSM-Funktion gleichsam über alle Administrator-Rechte.
Software-Updates "over the air"
Nicht zuletzt, weil viele Fahrzeughersteller auch Updates „over the air“ oder die Online-Freischaltung von Zusatzfunktionen anbieten (beziehungsweise zum Geschäftsmodell gemacht haben), stehen die Transparenz sowie die Sicherheit im Fokus. Auch Kfz-Werkstätten erledigen immer öfter Updates oder Upgrades derart für ihre Kund*innen.
Die Datenübertragung erfolgt über das Mobilfunknetz oder über WLAN. Beides steht nicht immer stabil zur Verfügung, mitunter werden Updates abgebrochen. Um Fehler zu vermeiden, muss deshalb die Datenintegrität gewährleistet sein. Dies besagt die EU-Richtlinie R156 (Software-Updates), die ebenfalls ab Juli 2024 für alle Neufahrzeuge, die verkauft werden, gültig ist. Der Fahrzeughersteller hat laut Richtlinie auf jeden Fall dafür Sorge zu tragen, dass ein sicheres Aufspielen der Software gewährleistet ist, eine Manipulation und unbefugter Zugriff müssen verhindert werden. Zudem sind die Fahrzeughalter vorab transparent zu informieren. Grundsätzlich gilt: Nur autorisierte Updates dürfen installiert werden!