Was Ihr Auto über Sie weiß – und Sie nicht

Daten unter der Haube

Wichtige Fehlermeldungen im Auto werden gespeichert. Sie dienen etwa der Unfallrekonstruktion oder helfen bei der Fehlerdiagnose. Einige dieser Daten lassen sich durchaus gegen den Kunden verwenden.

9 Bilder

31.05.2010, 14:46 Uhr

Lesezeit: 27 Min.

Autos

Von

Hannover, 31. Mai 2010 – Das moderne Auto fährt die Datenverarbeitungsleistung früherer Großrechenanlagen spazieren und produziert im Betrieb ähnlich viele Fehlermeldungen, deren wichtige werden aufbewahrt. Einige dieser Fehlerprotokolle sind dem Gesetzgeber und den Abgasnormen geschuldet, einige helfen bei der Fehlerdiagnose, andere scheinbar überflüssige Daten sammelt das Auto für Plausibilitätstests. Einige dieser Daten kann eine Werkstatt oder ein Hersteller durchaus gegen den Kunden verwenden. Autofahren und Autobesitz werden auf diese Weise ein Fall für den Datenschutz.

Wen interessieren Daten im Auto? Löschen Sie etwa alle angefahrenen Ziele aus dem Navi und alle privaten Handy-Nummern aus der Freisprechanlage, wenn Sie Ihr Auto verkaufen? Ach, das tun Sie denn doch. Aber wie ist das denn: Speichert Ihr Navi auch alle gefahrenen Strecken? Und wenn ja, kommen Sie oder Familienmitglieder da ran? Ganz andere Frage: Der supergünstige Gebrauchte, den Sie gerade gekauft haben – ist eigentlich belegt, dass der in fünf Jahren nur 22.000 km runter hat? Oder wurde der Tacho zurückgedreht?

In Ihrem Auto werden sehr viele Daten erfasst – und nur sehr wenige sind Ihnen als Fahrer zugänglich. Darum wird es im Folgenden gehen. Schon anhand der schieren Menge der zum Betrieb erhobenen Daten gelingt es Experten – ganz ohne Fahrtenschreiber-Blackbox – mittlerweile recht genau, einen Sachverhalt aus Fehlerspeichern zu rekonstruieren.

Als beispielsweise der österreichische Politiker Jörg Haider in seinem VW Phaeton tödlich verunglückte, ergab die Auswertung bei VW, dass die ESP-Sensorik einen Fehler geworfen hatte, als der Wagen abhob und die Raddrehzahlen zueinander unplausibel wurden. Dann lösten die Airbags aus, was ebenfalls immer notiert wird. Bei Fehlern notieren Fahrzeuge heute stets das Maximum der verfügbaren Daten: Drehzahl, Zeit/Datum, Temperaturen, Drücke, Geschwindigkeit et cetera. Insgesamt konnte VW so aus den Datenprotokollen der vielen Steuergeräte des Phaeton die letzte halbe Minute des Wagens rekonstruieren und damit der Polizei recht klare Indizien für deren Untersuchung geben.

Datensammeln per Gesetz …

Tatsächlich besteht der Gesetzgeber auf ein gewisses Maß an interner Protokollierung, namentlich für die Emissionsgrenzwerte. Die aktuellen Euro-Normen verlangen, dass bei einem Überschreiten gemessener Grenzwerte das Motorsteuergerät einen kompletten Datensatz mit den eben genannten Parametern speichert und über den standardisierten OBD-Anschluss (OBD steht für On Board Diagnose) des Fahrzeugs zugänglich macht.

Das gilt auch für Neufahrzeuge mit Euro-3-Zulassung, zum Beispiel Motorräder. In den USA kontrolliert sogar die Polizei diese Werte bei Autos stichprobenartig. Mit einem PDA-großen Gerät stellt ein Polizist dort recht schnell fest, ob die Abgaswerte laut ECU stimmen. Im an sich so regulationsliebenden Deutschland passiert Derartiges noch nicht.

Die Zulassung für eine bestimmte Abgasnorm erteilen die zuständigen Behörden auf einem Prüfstand, der das Fahrzeug in einem exakt definierten Testzyklus untersucht. Das ist für eine gerechte, vergleichbare und machbare Prüfung nötig. Doch schadstoffarmer Betrieb und kraftvoll-geschmeidig laufender oder langlebiger Motor erzeugen widersprüchliche Anforderungen.

Die Auflösung solcher Widersprüche lässt sich auf sehr unterschiedlichen Wegen erreichen – und Ingenieure sind bekanntlich findig. So erlaubt das Messverfahren, dass der Wagen zweierlei Maß für die Feedback-Schleifenparameter seiner Geräte anlegt: eine für den Zyklus, eine für Vollgas-Volllast. Oder noch dreister: Ein Hersteller stellt ein Fahrzeug hin, das die Abgasnorm mit Bravour erledigt, verkauft dann aber Maschinen mit komplett anderen Kennfeldern.

Als das Supersportmotorrad Ducati 1098 Euro-3-konform erschien, waren alle angetan ob des wunderbaren Laufverhaltens des Motors, der trotz der vorgeschriebenen Schubabschaltung sahnig lastwechselte. Respekt. Dann stellte jedoch ein Mitbewerber eine gekaufte Serienmaschine auf einen Prüfstand. Der attestierte eine Zusammensetzung der Abgase, die zu drei Vierteln aus Hölle bestand und definitiv nichts mehr mit Euro 3 zu tun hatte. Gut: Vielleicht war die Maschine ein Ausreißer in der Produktion.

Subtiler gehen da Autos vor. Manche Steuergeräte der Vergangenheit erkannten algorithmisch, ob sie gerade einen Zyklus für die Prüfnorm fuhren, was sie dazu brachte, metaphorisch unschuldig pfeifend saubereres Abgas zu produzieren. In einem Interview erklärten Ingenieure des Zulieferers Bosch, das werde heute nicht mehr gemacht, weil der Gesetzgeber da so hinterher sei. In einem anderen Interview verriet ein anderer Entwickler, dass die Hersteller dort und bei den Kraftstoffverbräuchen immer noch ziemlich schizophrenen Code schrieben, um sowohl bei den Prüfzyklen gut abzuschneiden als auch einen toll laufenden Motor anbieten zu können. Denn auch wenn eine Erkennung dieser Tage nicht mehr stattfindet, wie Bosch es sagt, kann sich ein Motor ja kategorisch in allen Testbereichen brav verhalten und in allen anderen, wie es ihm genehm ist. Das wäre nicht mal richtig geschummelt.

… und aus Eigeninteresse

Ferner gibt es für die Hersteller einige ökonomische Gründe, Daten zu sammeln. Wer als Käufer eine Gewährleistungs- oder Garantieleistung für sein Fahrzeug möchte, dem sehen die Vertragswerkstätten schon gern in die Datenkarten. Wenn dann im Protokoll vermerkt ist, dass der Motor bereits in der Einfahrzeit bei kaltem Öl immer zu hoch gedreht wurde, haben Hersteller und Werkstatt etwas in der Hand, um Leistungen zu verweigern.

Anderes Beispiel: Normalerweise blockieren moderne Cabrios ab Werk den automatischen Dachmechanismus, wenn eine Schwellengeschwindigkeit überschritten wird, um selbigen vor Beschädigung zu schützen. Der Fahrer könnte jedoch während der Dachöffnung beschleunigen und das Dach auf diese Art beschädigen. Folglich lässt der kluge Hersteller protokollieren, wenn die erlaubte Geschwindigkeit während des Öffnens oder Schließens überschritten wird. Diesen digitalen Aktenvermerk wird der Hersteller dem Kunden im Schadensfall vorhalten und ihm erklären, dass er nicht für Fehler durch eine Behandlung des Produkts jenseits der Spezifikation einsteht.

Einziges Problem dabei: Streng genommen fehlt die Rechtsgrundlage, auf der mit diesen Daten juristisch agiert wird, indem etwa Garantieleistungen abgelehnt werden. Denn meistens arbeitet die Justiz hier nur nach dem Motto „Der Hersteller wirds schon wissen und Recht haben“. Der Hersteller muss beispielsweise nicht beweisen, dass die Daten nicht von der Werkstatt verfälscht wurden und dass sie nicht einfach nur durch einen Systemfehler entstanden sind.

Datensammeln ist nicht generell böse. Daten entstehen an verschiedenster Stelle im Fahrzeug, und wenn man die geschickt sammelt und auswertet, lassen sich damit ganz neue Funktionen schaffen. Heutzutage verkaufen Fahrzeughersteller dadurch Features, die nur in Software realisiert sind, etwa Antriebsschlupfregelungen: Hat ein Fahrzeug bereits Raddrehzahlsensoren für das ABS und das ESP, erledigt den Rest ein Steuerungsprogramm. Der Einfachheit halber ist diese Software dann bei allen ausgelieferten Autos drauf, wird aber erst bei Bezahlung aktiviert.

Auch ein günstiges Reifendruckwarnsystem von Herstellern wie Bosch und Continental nutzt Vorhandenes per Software, in diesem Fall die Drehzahlsensoren: Ein platt werdender Reifen hat einen anderen Abrollumfang als ein richtig gefüllter, was das Gerät anhand der Drehzahldifferenzen merkt. Die Genauigkeit langt für eine Warnung bei größerem Druckverlust.

Auch in Gestalt der nutzungsabhängigen Service-Anzeige kommt das Datensammeln im Auto dem Fahrer zugute. Dazu wird unter Berücksichtigung von Zeit, Gesamtlaufleistung, Anzahl der Starts und sogar der Ölsorte, wenn die Werkstatt das korrekt kodiert, der richtige Zeitpunkt für den Service ermittelt.

In einem zu dieser Artikelrecherche zählenden Gebrauchtkauf ließ sich ein Interessent gar die in der Herstellerdatenbank gespeicherte Service-Historie eines Gebrauchtwagens zeigen – von seinem Freund, der bei einer Vertragswerkstatt arbeitet. Lobenswerte Transparenz, aber leider nur unabsichtlich.

Unzuverlässige Protokolle

Auf der einen Seite werden Daten über das Auto, den Fahrer und zum Teil sogar über seinen Fahrstil (ESP-Extremwerte) erhoben, auf der anderen Seite nehmen Autobesitzer aktiv Einfluss auf die Daten. Chiptuning an Leasing-Wagen zum Beispiel ist sehr weit weg von der feinen Art, wird von Leasing-Nehmern aber verblüffend häufig praktiziert.

Die Tachomanipulation, also die Aufwertung von Autos durch Zurückstellen des Kilometerzählers [1], gelingt mit analogen wie digitalen Tachos seit eh und je. Und obwohl Tachomanipulation inzwischen gesetzlich verboten wurde, ist sie heute eher einfacher und billiger als zuvor geworden.

Die Fahrzeughersteller schweigen zu dieser Problematik. Doch die Annahme, ein Betrüger sei aufgeschmissen, weil er ja das System nicht kennt, ist eine Lüge in die eigene Tasche. Ein Angebot im Zuge dieser Recherche lautete: „Komm vorbei, mit was du willst, ich garantiere, dass ich bei allem den Tacho in 30 Sekunden zurückgestellt habe.“ Das klingt jetzt nicht nach Herumtappen im Dunklen.

Die Diagnosegeräte nebst Software (zum Beispiel Bosch ESItronic und die KTS-Diagnose-Hardware) zum Zugriff auf die Fahrzeugdaten kosten recht viel Geld. Auch Dritthersteller brühen ihre eigene Suppe, zum Beispiel für die Tachomanipulation oder das Chiptuning. Solche Geräte kosten um die 10.000 Euro, was sich für einen professionellen Betrüger allerdings schnell rechnet.

Selbst der schwarzarbeitende Gelegenheitsschrauber ist nicht außen vor. Er wartet einfach, bis findige Chinesen nach ein paar Monaten die teuren Maschinen nebst Software billig kopiert haben und ihm für wenige hundert Euro verkaufen.

Beim Thema „Manipulation“ trifft man auf grundsätzliche Probleme im Auto. So genügt die interne Datenverarbeitung zwar Industriestandards in Sachen Robustheit und Langlebigkeit, doch hinsichtlich Manipulationssicherheit werden niedrigere Maßstäbe angelegt. Das hat diverse Gründe.

So kann sich der Fahrzeughersteller auf die Gesetzeslage zurückziehen. Schließlich ist allgemein bekannt, dass bei Veränderungen am Fahrzeug die Betriebserlaubnis (schmerzhafter: der Versicherungsschutz) erlischt. Das gilt sehr wohl auch für elektronische Veränderungen, obwohl das anscheinend kaum jemanden interessiert. Das Tacho-Rückstellen (nebst Werbung dafür) ist zudem 2005 mit einem eigenen Gesetz gewürdigt worden, das bis zu einem Jahr Freiheitsstrafe vorsieht. Google listet trotz allem auch heute noch rund 15.000 Einträge für „Tacho zurückdrehen“.

Strafen scheinen hier also niemanden abzuschrecken und ein Eigentümer kann ja im Verborgenen so ziemlich alles mit seinem Auto machen, was ihm gefällt. Selbst eine komplett gekapselte und verplombte Elektronik in versiegelten Kistchen vermag keinen Kriminellen davon abzuhalten, ein Fahrzeug zu kaufen oder zu stehlen, um es gewissenhaft zu analysieren.

Wenn es Wege zur Manipulation gibt, kann er sie auf diese Art finden. Er weiß dann etwa, ob und wie er die Elektronik über den OBD-Port oder eine CAN-Bus-Anzapfung austricksen kann. Alles nur eine Frage des Aufwandes, der sich so lange rentiert, wie sich das gewonnene Wissen auf den schwarzen Märkten mit Profit absetzen lässt. Überdies erleben die Autohersteller, die ja emsige Verfechter von Globalisierung sind, hier auch mal die Schattenseiten: Hierzulande sind 10 000 Euro ein Klacks, in Billiglohnländern jedoch ein Vermögen. Dafür kann man dort Hacker engagieren oder gleich per Bestechung alles Wissenswerte einkaufen.

Dichtmachen

Angesichts solcher Szenarien könnte man annehmen, dass die arme Autoindustrie gar keine Chance gegen hochbegabte Gauner hat. Doch das stimmt nicht. Es ist lediglich aufwendig, ein Auto so gegen Manipulation abzudichten, dass die Manipulationen zumindest teurer werden als deren Nutzeffekt, wenn man nicht gleich zu nichtknackbaren Verschlüsselungen greifen will. Aufwendig heißt auf Herstellerseite teuer, und solange der Ärger von Kunden und Versicherungen keinen ernsthaften Leidensdruck erzeugt – sprich: seinerseits Geld kostet –, wird sich daran wenig ändern. Das ist ähnlich wie bei Geldautomaten: Die werden auch nicht kostspieliger abgesichert, als es der Schaden erfordert, den die Banken erleiden.

Es ist ja auch nicht mit Bastellösungen getan, deren Fragwürdigkeit einfach nur verschleiert wird. Wenn zum Beispiel für Funkschlüssel oder Keyless-Schließsysteme einfach nur ein kompliziertes Signal zum Türöffnen verwendet wird, das lediglich vermeidet, dass man andere Fahrzeuge auf einem Parkplatz gleich mit öffnet, dann nutzt das wenig: Ein solches Signal kann man – ohne Wissen über seine Beschaffenheit – einfach aufzeichnen und diese Aufzeichnung später selbst aussenden. So etwas findet man vielleicht noch bei Garagentor-Fernsteuerungen aus dem Baumarkt. Ebenso wenig nützt beispielsweise ein kompliziert verschlüsseltes Tachosignal, wenn man den Kilometerzähler durch Abziehen/Durchknipsen eines Kabels außer Gefecht setzen kann und das Auto immer noch fährt (ein GPS-Tacho würde dann übrigens aushelfen können).

Zum einen müssen starke Verschlüsselungen zur Anwendung kommen, zum anderen müssen die Kommunikationspartner sich sicher gegeneinander ausweisen können. Sie müssen Kodierungen miteinander aushandeln, die von Fahrzeug zu Fahrzeug und von Kommunikation zu Kommunikation variieren. Mit Schlüssellängen von 2048 Bit kann man die Systeme sogar völlig offenlegen ohne befürchten zu müssen, dass ein Superrechner-Cluster die Verschlüsselung in absehbarer Zeit knackt.

Für den Fahrzeughersteller verursacht das vor allem Kosten: Das Handling derart langer Schlüssel erfordert mehr Rechenleistung, doch das Gros machen hier Entwicklungs- und später auch laufende Kosten aus: Die Lösungen sollten einzigartig pro Fahrzeug sein, Werkstätten müssen dennoch Steuergeräte tauschen und der ADAC sollte weiterhin Hilfe leisten können; Schlüssel sollen nicht in falsche Hände geraten, sie müssen invalidiert werden können, wenn das doch passiert, und so weiter – insgesamt ist eine verlässliche Infrastruktur aufzubauen. Dazu existiere derzeit kaum Entwicklungsdruck, hieß es von Bosch, einfach, weil es von den Herstellern nicht nachgefragt werde.

Nachttresor

In kleinem, aber technisch hochfeinem Rahmen zeigt sich jedoch, wie gut kryptografische Lösungen in Autos funktionieren können. Infrarot-Nachtsichtgeräte etwa dürfen ab einer bestimmten Restlichtverstärkungsleistung in den USA nicht verkauft werden. Darunter fallen zum Beispiel die Nachtsichtgeräte aus Oberklasse- und Mittelklasselimousinen. BMWs System „Night Vision“ mit seiner Terminator-artigen Personenumrisserkennung, wie es für den 7er angeboten wird, macht deutlich, worum es den amerikanischen Behörden geht: Diese Geräte sollen auch nicht über den Umweg eines Autokaufs für jedermann erhältlich sein.

Nachtsichtgeräte dieser Qualität arbeiten daher nur in einem einzigen Steuergeräteverbund; sie sind gesichert mit Zugriffsschlüsseln (BMW sagt „Freischaltcodes“) und verweigern außerhalb genau der einen sicheren Umgebung, für die sie freigeschaltet wurden, ihren Dienst. Wer das System ausbaut, kann nur Einzelteile davon in Betrieb nehmen – hier aber leistet das Ganze erheblich mehr als die Summe seiner Teile.

Vor ähnlichen Problemen stehen allerdings auch die Werkstätten: Nur vom Fahrzeughersteller autorisierte Vertragswerkstätten können bei einem Problem mit dem Nachtsichtgerät helfen. Eine sichere Krypto-Infrastruktur im Auto würde also unter anderem auch bedeuten, dass die Behebung der meisten elektronischen Probleme (Steuergerätetausch) komplett den Vertragswerkstätten vorbehalten bliebe. Der Trend, freie Werkstätten zu benachteiligen, würde sich verstärken.

Fehlerprotokolle

Zunächst arbeiten Ingenieure – Maschinenbauer, E-Techniker und Software-Entwickler – an unseren Autos, und die denken nicht zuerst an Überwachung, Datensammelwut, nächtliche Terroristen und Manipulation, sondern an Funktion. „Es gibt kein regelmäßiges, regelrechtes Protokoll des Fahrens“, beruhigt Martin Fritz, Projektleiter Diagnose bei Bosch. Es gibt nur Zeitpunktmessungen und -vermerke, die allerdings an verschiedensten Stellen auftreten. Dadurch kann, wie im Fall Haider gezeigt, ein Forensiker einen gewissen Zeitraum der Fahrt rekonstruieren.

Es gibt da zum Beispiel Fehlerzustände, die erst vermerkt werden, wenn sie längere Zeit bestehen. Obendrein gibt es oft zeitliche Löschbedingungen, wenn das Fahrzeug „sich selbst heilt“, wie die Ingenieure sagen. Ein typisches Beispiel hierzu liefert der Stau. Der Motor saugt Luft vom Auspuff des Vordermanns an, was zu verschlechterten Abgaswerten führt. Wenns ganz schlimm wird, wirft die Motorbox den Fehler aus. Nach dem Stau normalisiert sich jedoch die Ansaugluftzusammensetzung wieder, also kann das Steuergerät den Fehler nach einiger Zeit getrost wieder streichen – bis zum nächsten Stau.

Ein erklecklicher Anteil der notierten Fehler sind Plausibilitätsfehler. Die entstehen, wenn eine prüfende Instanz feststellt, dass gemeldete Systemdaten – dazu zählen auch Fehlerwerte – nicht im für sie sinnvollen Bereich liegen. Das ist umso wichtiger, als Sensoren in massengefertigten Autos möglichst einfach sein müssen, einerseits um Kosten zu sparen, andererseits um sie robuster zu machen und dadurch noch mehr Kosten zu sparen.

Der Luftmassenmesser im Ansaugtrakt wird zum Beispiel oft schlicht so ausgeführt, dass ein beheizter Draht in den Luftstrom ragt, dessen Widerstand dann mit einer Referenz verglichen wird. Rechnerisch ergibt sich so die Luftmasse und aus ihr bei normaler Zusammensetzung der Sauerstoffgehalt. Dieser Messwert wird heute üblicherweise noch mit einer Vergleichsrechnung aus Ansauglufttemperatur und -druck plausibilisiert. Einen zickenden Luftmassenmesser bemerkt die Steuerung damit also schnell, kann jedoch auch den Einfluss extrem feuchter (und damit den Draht stärker kühlender) Luft reduzieren, die mit einem Luftmassenmesser allein zu schlechtem Motorlauf führen könnte. Einfachere Fahrzeuge wie Motorräder bauen die Ingenieure oft gleich nur mit einer

Regelung aus Temperatur und Druck, und bei einigen Autos konnten die Fahrer einen unrunden Motorlauf gelegentlich dadurch kurieren, dass sie den Luftmassenmesser abklemmten. Wie man sieht, kann man diese Plausibilitätsdaten für einen Notbetrieb verwenden. Genau das tut ein modernes Auto bei Versagen eines Systems, um sich in die Werkstatt oder nach Hause zu schleppen („limp home“).

Ein weiteres Beispiel ist das Sicherheitssystem ESP, das außer den Raddrehzahlen die Querbeschleunigung und die Gierrate (Winkelgeschwindigkeit der Lageänderung um die Hochachse bei Kurvenfahrt) misst. Zusätzlich sichern sich ESP-Systeme dadurch ab, dass sie den Lenkwinkel (das ist ja der Fahrerwunsch) und die Längsbeschleunigung messen. Die Fahrzeuggeometrie ist bekannt, deshalb können sie aus den beiden letztgenannten Messdaten die Gierrate rechnerisch ermitteln und sie mit dem gemessenen Wert des Schwingungsgyrometers vergleichen.

Da ESP sicherheitskritisch ist, gibt es hier allerdings keinen Notbetrieb, sondern das System schaltet sich im Fehlerfall aus und eine Warnlampe an. Die Prüfung sorgt hier nur für zusätzlichen Schutz vor Fehlfunktion. Sie muss sicherstellen, dass ESP bei einem Ausfall „sicher“ ausfällt („fail silent“), wie der Techniker sagt. Es muss sich also komplett abschalten und nicht etwa unmotiviert ein einzelnes Rad blockieren.

Protokolle für Experten

Die schiere Menge möglicher Fehlerkonditionen, wie sie mittlerweile völlig üblich ist, wäre für den normalen Werkstattbesuch viel zu groß. Also maskieren die Steuergeräte sogenannte „Scheinfehler“, bei denen die Werkstatt durch einfachen Teiletausch nichts erreicht außer unnötige Kosten.

Typische Kandidaten für solche Scheinfehler sind Timing-Probleme. Ein Steuergerät wartet auf Daten. Der Sender ist aber gerade derart beschäftigt, dass er seine Daten nicht innerhalb des Zeitfensters auf den CAN-Bus bekommt. Wie andere einfache Bus-Systeme kann auch CAN nicht garantieren, wann eine Übertragung auf dem Bus möglich ist; deshalb kann es bei starkem Datenverkehr schon mal passieren, dass es länger dauert, als in allen Tests erwartet, bis die Nachricht ankommt. Oder eine Komponente hat bei An- oder Abschaltung der Zündung gar keinen Strom, während eine andere schon auf Daten wartet und schließlich einen Fehler setzt. Für solche Ausnahmefälle werden dann die Softwareparameter geändert, bei einem Timing-Problem also beispielsweise Wartezeiten vergrößert.

Normalerweise schaut sich die Werkstatt Fehlerprotokolle an, entweder aus akutem Anlass oder periodisch bei Inspektionen. Komplizierte Fehler wird sie mit dem Hersteller rücksprechen, doch trotz protokollierter Datenfülle kann selbst der nicht alle Fehlerursachen finden und abstellen. Dann geht ein Steuergerät samt der Datenaufzeichnungen des Testbetriebs zum Zulieferer. Denn der kann meistens tiefere Analysen fahren, wie Bosch bestätigt.

Tiefenanalyse

Der Zulieferer als der eigentliche Entwickler hat das beste Systemverständnis seines Steuergerätes. In erster Linie helfen dem Zulieferer bei der Fehlersuche die üblicherweise für die Entwicklung einbauten Debugging-Hilfen, über die nur er verfügt.

Die strengen Produkthaftungsgesetze der EU verlangen lückenlose Dokumentationen auch der jeweiligen Produktverantwortung. Wenn das Steuergerät eines Zulieferers im eingebauten Zustand nicht das tut, was per Pflichtenheft vereinbart wurde, hat der Zulieferer ein Problem. Wenn dann ein Rückruf nötig wird und er womöglich Zigtausende neuer Steuergeräte auf Kulanz nachliefern muss, ist er pleite. Um eine kleine Firma plattzumachen, reicht oft schon ein längerer Schadensersatzprozess, durch den sich Zahlungen zurückhalten lassen.

Vor diesem Hintergrund ist es nicht ausgeschlossen, dass kleinere Entwicklerfirmen in ihrem Steuergerät ein Zusatzprotokoll vorsehen, das die Einhaltung der Schnittstellenparameter überwacht und dokumentiert. Idealerweise können sie später belegen, wer tatsächlich die Fehler an der Schnittstelle verursacht hat.

Sehr wahrscheinlich ist es aber nicht, dass ein Entwickler solchen Aufwand betreibt: Die Hardware muss leistungsfähiger als nötig sein, um die Zusatzaufgaben übernehmen zu können, die Software wird erheblich komplexer und damit teurer, aber vor allem auch fehleranfälliger. Das führt zu Extrakosten, die in der Autoindustrie nicht zu schultern und eigentlich auch nicht nötig sind. „Jedes Steuergerät überwacht über den CAN-Bus eh die Plausibilität der empfangenen Daten“, erklärt Klaus Eppinger, Motorsteuerungsentwickler bei Continental, den üblichen Umfang.

Und in den allermeisten Fällen sitzen Zulieferer und Hersteller in einem Boot. Ein Problem etwa, das die Auslieferung verzögert, schadet allen Beteiligten. „Wir haben eine vertrauensvolle Zusammenarbeit mit allen Herstellern“, sagt Bosch dazu. Ähnlich äußern sich Continental und diverse Fahrzeughersteller.

Unfallaufklärung

Die Entwicklung in Richtung immer komplexerer Elektronik und Informationstechnik in Kraftfahrzeugen ist längst Alltag und steigert sich durch immer aufwendigere Assistenzsysteme von Modellgeneration zu Modellgeneration. Nicht von ungefähr heißt der Ausbildungsweg heute Kfz-Mechatroniker statt wie früher Kfz-Mechaniker [2]. Selbst aus jetziger Sicht schon ältere Autos erheben Daten in ungeheuren Mengen – die meisten davon sind jedoch flüchtig, weil außerhalb des Betriebs belanglos. Sie sind in einem unsicheren System gesammelt zudem allein nicht beweiskräftig. In einem Streit, der vor Gericht geht, muss dann irgendwann ein Gutachter anhand von mechanischen Indizien Klarheit bringen.

Eigentlich wünscht man sich heute Datensparsamkeit. Der Trend in einer immer sicherheitspanischer werdenden Welt geht allerdings in die entgegengesetzte Richtung, hin zu spezialisierten Unfallaufzeichnungsgeräten, am besten ausgeführt als separate, robuste Blackbox wie im Flugzeug. In den USA regelt der Gesetzgeber mittlerweile, dass sogenannte Event Data Recorder (EDR), die man auf freiwilliger Basis einbauen kann, von Behörden in einem offenen Format ausgelesen werden können:

Seit 2004 befasst sich eine Abteilung des IEEE (Institute of Electrical and Electronics Engineers) mit der Idee einer standardisierten Blackbox [3], 2006 wurden die Ziele sogar noch deutlicher formuliert – die unter anderem auch Tachomanipulation verhindern wollen [4]. Und mittlerweile hat die zum Department of Transportation gehörende National Highway Traffic Safety Administration eine 200 Seiten starke Spezifikation für EDRs aufgelegt [5]. Schon ab Oktober 2010 sollen US-Behörden Zugriff auf die Daten dieser Boxen haben.

Die Debatte um Unfallaufzeichnung ist mit den ominösen Brems- und Beschleunigungsproblemen an Fahrzeugen von Toyota gerade hochgekocht. Toyota verhielt sich geheimniskrämerisch in einem Umfang, dass es nicht nur ungeschickt, sondern regelrecht verdächtig wurde. Ein Richter kritisierte die Firma, sie unterschlage systematisch Informationen, die zur Aufklärung von Unfällen mit ungewollter Beschleunigung nützlich wären [6]. Auch Toyota muss vor diesem neuen gesetzlichen Hintergrund seine wie auch immer ausgeführten Protokolle zumindest für den US-Markt ab Ende 2010 dergestalt ändern, dass die Behörden auf alle gesetzlich geforderten Datenkanäle Zugriff erhalten.

Während amerikanische Behörden nur Richtlinien festlegen, wie ein freiwillig installierter Data-Recorder die Daten bereitstellen soll und den Rest der Marktregulierung überlässt, wollen EU-Bürokraten einen Schritt weiter gehen: Im Bericht VERONICA II („Vehicle Event Recording based on Intelligent Crash Assessment“) empfehlen sie, EDR-Geräte in Europa für Neufahrzeuge als verpflichtend festzulegen. Solche Blackboxes mögen zwar bei der Unfallaufklärung extrem hilfreich sein, bergen aber auch viel datentechnisches Missbrauchspotenzial.

Fürs Protokoll

Außer Betriebsdaten wie Motor- oder ESP-Interna gibt es durchaus Daten, deren verlässliche Speicherung man sich als Fahrer gelegentlich wünscht. Wer gezwungen ist, ein Fahrtenbuch zu führen, wird dankbar sein für ein Navigationssystem, das grundsätzlich jede gefahrene Strecke aufzeichnet, weil das mühsame Handarbeit erspart. Es könnte dazu Sicherheitsfunktionen bieten, um es fälschungsresistent zu machen und den Zugriff auf persönliche Daten zunächst nur deren jeweiligen Urhebern zu erlauben.

Ohne diese Sicherheitsfunktionen gibt es automatische Streckenaufzeichnung in Navis schon heute. Spaßfahrer benutzen sie zum Beispiel, um schöne Routen aufzuzeichnen und über einschlägige Websites oder Online-Datenbanken mit ihresgleichen auszutauschen. Doch generell sind im Auto erhobene Daten ähnlich persönlich und auf verschiedenste Art nutzbar wie die des privaten PC im Internet und damit ähnlich schutzbedürftig – sei es nur gegenüber neugierigen Familienmitgliedern, sei es gegenüber Arbeitgebern oder etwa gegenüber Autovermietungen.

Deshalb haben Datenschützer auch ein Auge aufs Auto: Schon 2006 sprach der Bundesdatenschutzbeauftragte diese Problematik in seinem Vortrag „Der gläserne Autofahrer“ [7] an. Es gehe zum Beispiel „um die Frage, wer auf die Daten zugreifen kann. Auch hier geht es nicht nur um rechtliche Fragen, sondern ebenso um die technische Gestaltung. Ein weiterer Aspekt ist die Transparenz: Wie kann der betroffene Fahrer Kenntnis von den über ihn erhobenen Daten erhalten? Last, but not least, ist zu klären, durch welche technisch-organisatorischen Maßnahmen eine Manipulation der Daten ausgeschlossen und ihr Missbrauch verhindert werden kann. Dies betrifft letztlich nicht nur die jeweils in den Fahrzeugen installierten Geräte, sondern auch das ganze technische Umfeld, in das sie integriert sind.“

Antworten auf diese Fragen werden drängender mit jedem weiteren Datensatz, mit jeder weiteren Anwendung und Verschaltung von elektronischen Überwachungsfunktionen wie etwa EDR. „Moderne Motor-Software besteht aus 800 bis 1000 Modulen, manche sogar aus über 2000“, sagt Klaus Eppinger von Conti über die Komplexität allein der Motorsteuerung. Gut, mit GPS-Daten aus dem Navi etwa könnte man sinnvoll Sprit sparen. Das Auto wüsste aber dann im Kern, in der Motorbox immer, wo es ist und könnte die GPS-Koordinaten als Feld mit in seine Fehlerdatensätze schreiben – üblicherweise ohne Kenntnis und ohne Zugriff durch den Fahrer. Die Erfahrung zeigt überdies, dass solche Daten, einmal erhoben, sofort Begehrlichkeiten wecken – man beobachte nur die Debatten über den „Zusatznutzen“ der Kameras an den Mauterfassungsbrücken auf den Autobahnen, die ja auch Nummernschilder lesen können.

Wir wissen folglich nur grob, was unsere Autos über uns wissen und wem sie ihr Wissen anvertrauen. Wir als Fahrer haben keine „Akteneinsicht“, den Gesetzgeber respektive die Politik schert das noch nicht wirklich – der Datenschutzbeauftragte sei hier ausdrücklich ausgenommen – und die Fahrzeughersteller hüten sich, die Büchse der Pandora zu öffnen. Aber nur sie wissen, ob unser Auto tratscht, klatscht oder gar lügt. Zwar liegt den meisten neuen Fahrzeughandbüchern mittlerweile eine Datenschutzerklärung bei, die allerdings nur ein Statement à la „Take it or leave it“ ist, denn das Fahrzeug erhebt diese Daten, fertig. (Clemens Gleich)