Tacho-Tüfteln

Inhaltsverzeichnis

Schon seit längerem kursiert eine Schätzung der Dekra, nach der in Deutschland etwa ein Drittel aller Tachos manipuliert sind. Offizielle und belegbare Zahlen sucht man freilich vergebens. Obwohl das Einstellen auf einen „Wunsch-Kilometerstand“ in Deutschland durch nichts verboten ist, tummeln sich die Beteiligten doch in einer Grauzone. Denn spätestens, wenn ein künstlich verjüngtes Fahrzeug auf dem Gebrauchtmarkt ein paar tausend Euro mehr bringt als nach dem realen Kilometerstand angemessen wäre, geht es zumindest um arglistige Täuschung, wenn nicht gar um Betrug. Doch muss man einen manipulierten Kilometerstand erst mal nachweisen können.

Elektronischer Tacho

Die Autoverjüngung durch Zurückstellen des Kilometerzählers ist vermutlich so alt wie der Kilometerzähler selbst. Dass es schwarze Schafe in finsteren Hinterhofgaragen gab, die mechanische Zähler mit der Tachowelle in der Bohrmaschine zurückdrehten, wusste eigentlich jeder, doch es blieb eine Randerscheinung.

Als dann die Autoindustrie zum elektronischen Kilometerzähler überging, war sich die Branche einig, dass nunmehr auch diese Randerscheinung vom Tisch sei: Der apparative Aufwand für eine Manipulation sei nun zu hoch, das rechne sich nicht mehr. Außerdem sei ganz erhebliches Know-how gefragt, das sich der klassische Schrauber - erst recht der Privatmann - nicht so einfach draufschaffen könne.

Faszinierend, wie aus dieser kleinen Fehleinschätzung ein boomender Markt geworden ist. Ganz sicher ist die Werbeplattform Internet daran beteiligt, aber auch die Tatsache, dass einmal erworbenes digitales Know-how sich in Form von Software halt verlustfrei kopieren und gut verkaufen lässt. Fakt ist jedenfalls, dass sich eine regelrechte Industrie gebildet hat, die viel Geld verdient.

Dadurch gebietet sie über respektable Ressourcen: Sie kann sich Experten leisten, die mit hochwertigem Equipment die Tacho-Mechanismen jedes beliebigen Autoherstellers analysieren. Jede erfolgreiche Analyse bringt weitere Rendite. Und die Hardware zur Tacho-Einstellung zählt zum ganz legalen Werkstatt-Equipment - für rund 10 000 Euro ist jeder dabei, der einen PC bedienen und einen EEPROM-Flasher anschließen kann.

Hilfreich für die Rücksteller ist auch, dass die reine Manipulation des Kilometerzählers keinerlei juristischen Ärger beschert - ganz anders etwa als beim Fahrtenschreiber in Bussen oder Lkws. Und auch anders als etwa in der Schweiz oder in Frankreich, wo ein Verstellen des Wegstreckenzählers bestraft wird. In Deutschland jedoch ist der Kilometerstand weder für die Zulassung noch für die Versicherung oder die TÜV-Untersuchung von Belang.

Nicht von ungefähr fordert der ADAC daher vom Gesetzgeber, bereits für die Manipulation des Kilometerzählers einen Straftatbestand „Vorbereitung zum Betrug“ zu schaffen oder den Begriff „Fälschung technischer Aufzeichnungen“ auf Kilometerzähler auszuweiten. Solange allerdings Manipulationen nicht nachweisbar sind, lassen sich so allenfalls die Anbieter der Justage-Dienste in den Untergrund drängen.

Wen juckts?

Nun ist es aber keineswegs so, dass sich niemand außer ein paar privaten Autokäufern für den wahren Kilometerstand interessiert. Ein Autohersteller etwa, der eine Garantie für die ersten 100 000 Kilometer gewährt, erleidet selbst Verluste, wenn ihm jemand in Wahrheit ein Fahrzeug mit doppelter Laufleistung unterjubelt. Auch bei der Leasing-Rücknahme drohen finanzielle Einbußen: Für den Fahrer kann sich die Tacho-Rückstellung rentieren, weil sich die Händler eine Überziehung der vereinbarten Laufleistung schon mal vergolden lassen.

Auch ein Händler, der ein manipuliertes Fahrzeug in gutem Glauben an- und weiterverkauft, kann in Teufels Küche kommen, denn in vielen Verträgen sichert er dem Kunden unter anderem auch die Laufleistung zu. Vermag der Käufer die Manipulation im Nachhinein nachzuweisen, kann er zum Beispiel darauf klagen, den Kaufvertrag rückgängig zu machen oder einen Abschlag fordern. Nicht zuletzt sind auch Versicherer daran interessiert, dass sie bei einem Totalschaden für den tatsächlichen und keinen fiktiven Zeitwert aufkommen.

Wer tut was?

Wie kann es also bei so vielen Leidtragenden sein, dass das Rückstellen nicht einfach unterbunden wird? Die Antwort lautet ganz simpel: Weil es nicht einfach ist.

Die Controller-Chips, die die Steuergeräte in Autos bevölkern, sind überwiegend Standardbauteile, auch wenn hier und da Spezialversionen für den Automotive-Bereich dabei sind. Doch auch die sind letztlich klassische Mikrocontroller mit integriertem RAM, Flash-EPROM und I/O, vielfach auch bereits mit Interfaces für die im Fahrzeug üblichen Bussysteme, allen voran der CAN-Bus.

Das heißt, was sich im Netzwerk der Auto-Steuergeräte abspielt, ist für jeden Ingenieur, der sich mit Embedded-Systemen auskennt, zwar nicht direkt ein offenes Buch, aber weder schwarze Magie noch sonst geheimnisvoll. Selbst ambitionierte Amateure können allein durch passives Lauschen am CAN-Bus Steuerdaten durch Trial and Error identifizieren.

So ist die Expertise zur Dekodierung dessen, was sich im Detail im Fahrzeug abspielt, zwar tatsächlich nicht in Autowerkstätten zu finden, zählt bei Computer- und Elektrotechnikern aber durchaus zum Basis-Know-how. Die fehlende Spezialisierung auf Fahrzeugtechnik können sich diese vergleichsweise leicht aneignen.

Bereits seit 1996 streitet der ADAC für Kilometerzähler, die sich zu Täuschungszwecken entweder gar nicht zurückstellen lassen oder zumindest die sichere Erkennung einer Rückstellung in der Fachwerkstatt erlauben.

Im Zuge von Fachgesprächen, zu denen der ADAC Experten einlädt, tauschen sich Vertreter aus den verschiedenen Entwicklungszweigen der Branche über Lösungswege aus. Anlass für das jüngste Fachgespräch am 4. März 2005, an dem auch zwei c't-Redakteure teilnahmen, waren die frustrierenden Erkenntnisse des ADAC, die er aus aktuellen Stichproben gewonnen hatte.

Testszenario

Ausgewählt hat der ADAC zur Probe aufs Exempel nur Fahrzeuge, deren Hersteller zuvor versichert hatten, dass sich der reale Kilometerstand auch nach einer Manipulation elektronisch auslesen ließe [1]. Ferner konzentrierte sich der ADAC auf Fahrzeuge, deren Wunschkilometerstand für maximal 200 Euro gemäß Anbietern im Web erhältlich war. Es traf schließlich einen Alfa Romeo 156 JTD (125 Euro), einen 5er BMW (E39-Reihe, also Vormodell, 200 Euro), einen Jaguar XJ8 (200 Euro), einen VW Touran (150 Euro) und einen Toyota Corolla Verso (75 Euro). Ferner erkundigten sich die Tester bei den Herstellern nach Werkstätten, die sowohl autorisiert als auch von der Ausstattung her in der Lage seien, Tacho-Manipulationen zu entdecken.

Die Kilometerzähler der privat akquirierten Fahrzeuge wurden um rund ein Drittel nach unten korrigiert. Dann fuhr ein Tester, der sich als Gebrauchtwagenkäufer ausgab, die Werkstätten ab, um zu erfahren, ob er einen guten Kauf machen würde oder ob etwas am Auto faul sei. Da der Tester einige Tage zuvor in Auto, Motor und Sport-TV einen Beitrag über Tacho-Manipulationen gesehen habe, erteilte er auch explizit den Auftrag, den „wahren“ Kilometerstand auszulesen.

Nachdem bei Alfa Romeo, BMW, Jaguar und Volkswagen keine der Werkstätten - auch nicht mit Werksunterstützung - durch elektronisches Auslesen den Manipulationen auf die Schliche kam, wurde der Test vorzeitig abgebrochen, Toyota also nicht mehr geprüft. Nebenbei musste der ADAC noch konstatieren, dass die Werkstätten anscheinend generell nicht sonderlich akribisch auf die Suche gegangen waren: Die Mehrzahl entdeckte nicht mal offensichtliche Hinweise wie Ölwechsel-Zettel oder Fahrtenbücher, die höhere Kilometerstände dokumentierten. Im Vordergrund stand wie seit Großvaters Zeiten der Zustand von Pedalgummis und Fußmatten - lächerlich leicht ersetzbares Zubehör.

Fazit für potenzielle Mogler: Der Alfa hätte 1400 Euro mehr beim Verkauf erlöst, der BMW 850 Euro, der Jaguar 1600 Euro, der VW 950 Euro und der Toyota 450 Euro. Eine hübsche Rendite und für Privatleute völlig am Staatssäckel vorbei.

Was geht?

Zumindest einige Autohersteller haben sich des Problems bereits etwas handfester angenommen, wie man an den Preisen und der veranschlagten Arbeitszeit auf den einschlägigen Websites erkennen kann: Bis im aktuellen 5er, 6er und 7er BMW auch tatsächlich alle Notizen über den wahren Kilometerstand (vom Schlüssel-Chip bis zu diversen Steuergeräten, die Backup-Zählerstände vorhalten) „angeglichen“ sind, vergehen schon mal acht Stunden, für die zwischen 1500 und 1700 Euro zu entrichten sind.

Doch selbst mit solchen Beträgen ist das eigentliche Ziel - eine Manipulation ist unrentabel teuer - bei einem 7er BMW keineswegs erreicht: Bei Neupreisen von 61 500 Euro bis 117 000 Euro (ohne Extras, versteht sich) sind 1500 Euro für die virtuelle Werterhaltung in den ersten Jahren noch bestens angelegt.

Umgekehrt lässt sich anhand der Preislisten auf den Justage-Websites auch ganz klar erkennen, welche Autohersteller es den Rückstellern besonders leicht machen - Angebote unter 100 Euro gibt es jede Menge. Ob mangelndes Problembewusstsein, technische Inkompetenz oder schlicht Ignoranz seitens vieler Autohersteller zum aktuellen Dilemma geführt haben, sei dahingestellt.

Chronik des Scheiterns

Das jüngste Fachgespräch drehte sich um die Frage, wie man den Missstand für die Zukunft abwenden könne, denn rückwirkende Maßnahmen scheiden in den meisten Fällen aus: Zwar soll in der Fahrzeugelektronik möglichst viel flashbar sein, um auch nachträglich noch Fehler ausbügeln und Nachrüstungen einfach anpassen zu können. Doch gerade an den Stellen, wo man etwa im Zuge eines Werkstattbesuches mit einem kleinen Firmware-Update zum Beispiel die Tacho-Ansteuerung modifizieren könnte - etwa durch Drehen an den höheren CAN-Bus-Protokollen - sitzen maskenprogrammierte Chips.

Auch ein so nahe liegendes Verfahren wie die Protokollierung des Kilometerstandes durch Fachwerkstätten führt gleich mehrfach ins Abseits, obwohl die großen Automobilhersteller sogar die technische Infrastruktur besitzen, um die Lebensdaten eines jeden Fahrzeugs zentral zu verwalten. Zum einen müssen viele Fahrzeuge heute erst nach ein oder gar zwei Jahren das erste Mal zum Service. Zum anderen ist der Fahrzeughalter nach neuestem Recht nicht mal mehr in der Gewährleistungszeit verpflichtet, eine Vertragswerkstatt aufzusuchen.

Viel fataler aber ist, was in der Praxis eigentlich passieren soll, wenn eine Werkstatt tatsächlich einen veränderten Kilometerstand ermittelt hat. Ganz klar, wenn die Werkstatt selbst das Fahrzeug ankaufen will, wird sie den Anbieter damit konfrontieren.

Doch Friedbert Holz aus der Presseabteilung von BMW skizzierte das folgende Szenario: Angenommen, ein Privatmann fährt im Zuge einer Probefahrt bei der Werkstatt vor und lässt den Wagen auf Manipulation testen. Das Fahrzeug gehört einem guten Kunden der Werkstatt; der hat den Kilometerzähler zurückstellen lassen und ist als Erstbesitzer zwangsläufig für die Aktion verantwortlich. Wird die Werkstatt den guten Kunden anschwärzen? Und darf sie nach geltendem Datenschutz überhaupt Auskunft geben, wenn sie die Manipulation nur anhand ihrer gesammelten Daten feststellen kann?

Ein manipulationssicherer Kilometerzähler sollte folglich das Ziel sein. Die anwesenden Cockpitspezialisten von VW, BMW und Siemens VDO hielten sich bedeckt: Ja, alle arbeiten an neuen Lösungen, spätestens 2008 sind sie auf der Straße, und nein, wir dürfen dazu nicht viel sagen - einige Details hatten die Hersteller allerdings zuvor auf Anfrage herausgerückt (siehe Kasten „Wer schützt wie?“). Erkennbar wurde dennoch, dass bei den Herstellern nicht nur jede Menge Frustration, sondern zum Teil schon Resignation gegenüber den Hacker-Fähigkeiten der Tacho-Versteller herrscht. Und dass keiner der Anwesenden ein so sicheres Konzept vorweisen konnte, dass er das Funktionsprinzip vollständig offen legen mochte.

In der Security-Szene nennt man dieses Vorgehen Security by Obscurity, also den Versuch, ein System dadurch abzusichern, dass man seine Funktion verschleiert. Das kann das Reengineering bestenfalls erschweren, nicht aber verhindern. Denn die Lösung muss ja nur einmal aufwendig gefunden werden, danach steht das Wissen umgehend der Tacho-Community zu Gebote. Und sollte das Geheimwissen einmal in Niedriglohnländer diffundieren - Globalisierung hat viele unerfreuliche Nebenwirkungen -, dann muss man nicht mal forschen, sondern kauft das Know-how günstig ein.

Wie weiter?

Sicherlich kann man die Latte schrittweise höherlegen, indem man beispielsweise nur aufwärtszählende Chips (ohne Umlauf, versteht sich) konstruiert und sie direkt mit dem Cockpit-Controller und Display verheiratet. Selbst wenn die Autohersteller zu Chips für Bankautomaten greifen, deren Funktion sich nicht mal durch Abschleifen und Untersuchung per Elektronenmikroskop herausfinden lässt, so bleibt doch die Basisfunktion immer dieselbe: Weg-Infos entgegennehmen, zählen, speichern und anzeigen.

Ein solches System lässt sich stets (und extrem billig) durch ein anderes ersetzen. Ein komplettes Dashboard (also alles, was im Armaturenbrett vor der Nase des Fahrers zappelt und leuchtet) kostet die Hersteller in großen Stückzahlen rund 50 Euro - neu designte Nachbildungen in Kleinserie dürften in Fernost auf jeden Fall noch so günstig zu bekommen sein, dass die Tachorücksteller ihr Geschäft nicht aufgeben müssen.

Eine wirklich fälschungssichere Lösung stellt die Kryptographie bereit: digital signierte Tachos, die nur in einem zugewiesenen Fahrzeug funktionieren können. Einmal-Schlüssel, damit die Werkstatt Tachos austauschen und auf den wahren Stand bringen kann. General-Schlüssel, die man auch zurückziehen und durch neue ersetzen kann, wenn sie kompromittiert werden. Das Aufwendigste daran ist die Schaffung der benötigten Infrastruktur zur Schlüsselverwaltung. Der Grundstein dafür ist unter anderem durch die vielfach vorhandene Online-Anbindung der Werkstätten aber schon gelegt.

Schlüsselfunktionen

Der Einsatz von Krypto-Verfahren im fahrzeuginternen Elektronik-Netzwerk scheint ohnehin unabwendbar. Die ersten Viren-Attacken über Bluetooth-Handys dürften noch nicht viel mehr ausrichten können als die Telefone im Auto lahm zu legen oder etwas Datenmüll auf dem mehrfach genutzten Navi-Display anzuzeigen. Wenn aber über Mobildienste erst mal Zutritt in die weitgehend ungesicherten internen Netze möglich wird, dann gehts ans Eingemachte: Beschließt ein Hacker, mal eben alle 2-Liter-Motoren eines Herstellers mit neuen Kennfeldern über den Jordan zu schicken, dann mag das wie der ultimative GAU klingen. In Wahrheit dürfen wir uns glücklich schätzen, denn er könnte auch unmittelbar lebenswichtige Systeme angreifen: Über das ESP etwa einseitig bremsen, die Dämpfung eines aktiven Fahrwerks aufheben oder an elektronisch beeinflussbaren Lenkungen herumspielen.

Der Wunsch, überhaupt in Fahrzeugsysteme eingreifen zu wollen, wird natürlich zuerst durch finanzielle Anreize geschürt. Mit jedem neuen kostenpflichtigen mobilen Dienst - Navigationsdaten nur für zwei Wochen vom Urlaubsland - wird es lukrativer. Wie einfach kann Chip-Tuning werden, wenn man bereits beim Hersteller gegen Gebühr für ein Wochenende 100 PS zusätzlich ordern kann? Um diesen Zustand zu konservieren, würde man doch gern 100 Euro extra locker machen, oder? Das Problem ist nur: Auch wenn die Wege von außen ins System aus diesem Grund ermittelt werden, die Erkenntnisse stehen danach auch jedem Virenprogrammierer zur Verfügung.

Systemweite Verschlüsselung und vor allem Authentifizierung im Fahrzeug sind folglich dringend geboten. Diese Botschaft - der Eindruck entstand jedenfalls während des ADAC-Fachgesprächs - war noch nicht richtig in den Entwicklungsabteilungen der Automobilhersteller angekommen. Deren Misstrauen ist auch gut verständlich, denn ein schlecht designtes Krypto-System ist schnell geknackt. Die Kompromittierung eines CSS-Schlüssels für die Video-DVD ist ein Musterbeispiel, die ersten Ansätze zur Überwindung des Kopierschutzes HDCP [2] an der digitalen Video-Schnittstelle ermutigen auf den ersten Blick auch nicht. Beide Fälle offenbaren aber auch den typischen Kardinalfehler Security by Obscurity: Die Systeme wurden entweder gar nicht öffentlich mit Kryptologen diskutiert oder nicht rechtzeitig vor ihrer Einführung.

In der Volksmeinung ist Kryptologie immer noch vor allem das Handwerkszeug der Geheimdienste. Zum einen stimmt das längst nicht mehr (kein Bezahl-TV-Sender etwa kann ohne sie existieren), zum anderen ergibt sich daraus absolut nicht, dass Verschlüsselung eine Geheimwissenschaft ist. Gute Krypto-Verfahren lassen sich auch offen gelegt nicht knacken, denn sie beruhen auf abgesicherten mathematischen Erkenntnissen. Um die allerdings richtig und wasserdicht einzusetzen, genügt es in Tat nicht, einem Steuergeräte-Entwickler einen Packen Papier in die Hand zu drücken, sondern es bedarf erfahrener Krypto-Experten. Interessierte Leser finden übrigens ganz konkrete Anregungen zur Absicherung von Embedded-Systemen im Auto unter [3].

Literatur

[1] Anne Hahn, Die Tacho-Betrüger, ADACmotorwelt 4/2005, S. 12 ff.

[2] Keith Irwin, Four Simple Cryptographic Attacks on HDCP

[3] Embedded Security in Cars

---

So wirds gemacht

Beim Tacho-Rückstellen ist auch mechanisches Geschick gefragt, denn zunächst muss die Tacho-Einheit - hier bei einem Alfa 156 - zerstörungsfrei ausgebaut werden. Das Werkzeug dafür (links unten) ähnelt dem aus der Zahnarztpraxis.

Zur Basisausstattung gehört ein Notebook zum Anzeigen der Hilfetexte, der eigentliche Flasher (hier Digatronic, 9500 Euro) rechts neben dem ausgebauten Tacho, aber auch ein Kabelsatz mit Spezialsteckern (links unten im Bild).

Handwerkliches Geschick ist auch weiterhin gefragt: Hier müssen Zifferblatt nebst Tachonadel abgenommen und später wieder sorgfältig aufgesetzt werden. Wer Fettfinger direkt auf dem Zifferblatt seiner Anzeige entdeckt, bei dem sollten die Alarmglocken schrillen.

Wenn alles richtig angeschlossen ist, meldet der Flasher den aktuellen Wert. Darunter gibt man nur noch den Wunschwert ein und wartet auf die Meldung, dass die Änderung geklappt hat. Der Alfa wurde allerdings mit den rechts im Bild gezeigten Werten um rund 40 000 Kilometer verjüngt.

Beim Besuch in der Werkstatt wurde explizit darum gebeten, das Fahrzeug darauf zu überprüfen, ob der Kilometerstand verändert wurde - nur dass sich bei diesem Fahrzeug gar kein weiterer Wert ermitteln lässt, die Manipulation also nicht bemerkt werden kann. Operation gelungen. Zuvor hatte Alfa recht zuversichtlich erklärt, dass eine Manipulation nicht möglich sei (siehe Kasten „Wer schützt wie?“).

Fotos: Arnulf Thiemel, ADAC

---

Wer schützt wie?

Im Folgenden nur einige Beispiele, welche - zum Teil recht aufwendigen - Vorkehrungen einzelne Hersteller nach eigenen Aussagen treffen. Nicht dass es sonderlich viel nutzt, wie die einschlägigen Websites und speziell das Beispiel Alfa 156 belegen.

Alfa Romeo vermerkt die tatsächliche Laufleistung im Motorsteuergerät. Diese kann nur über das Fiat-eigene Diagnosegerät „Examiner“ in autorisierten Werkstätten ausgelesen werden. Dieser Wert kann nicht gelöscht werden. Eine Manipulation des Bordinstrumentes über den Examiner ist ebenfalls ausgeschlossen. Eine Kilometerkorrektur nach unten ist nicht möglich. Wird jedoch versucht, die Laufleistung nach oben zu verändern, um wieder auf den 0-Stand zu kommen, geht das Instrument auf „Block“ und zeigt an, dass es nicht mehr funktionsfähig ist. Eine Manipulation sei bei allen Fahrzeugen des Konzerns (Alfa Romeo, Fiat, Lancia), die seit 1999 neu herausgekommen sind, daher nicht möglich oder aber zumindest feststellbar.

Audi betreibt eine verschlüsselte Ablage der Kilometerstände gleich an verschiedenen Orten innerhalb der Fahrzeugelektronik und geht ebenfalls davon aus, Manipulationen erkennen zu können.

BMW verändert vierteljährlich die Kodierung, sodass der Hacker ständig ein neues Programm braucht. Die Daten werden in bis zu fünf Steuergeräten abgelegt und der Tacho kann nur aufwärts zählen. Eine Manipulation mit „Durchlaufenlassen“ über 100 000 beziehungsweise 300 000 Kilometer wurde nachträglich jedoch zugestanden, ebenso, dass diese nicht in allen Fällen bemerkbar sei. Nach einem Tachotausch wird ab 0 gezählt und dies mit einem Eintrag im Serviceheft belegt.

DaimlerChrysler betont ausdrücklich, dass man einen manipulationssicheren Wegstreckenzähler für sehr wichtig halte. Man bemühe sich daher durch konstruktive Maßnahmen (Kilometerstand wird in mehreren Systemen vernetzt abgelegt) um eine verlässliche Absicherung des wahren Kilometerstandes. Der wird nach einem Tachotausch automatisch aus dem fahrzeuginternen Netz ermittelt und eingestellt. (gr)