- Bei einer Relay-Attacke verlängern zwei Täter mit Funkbrücke die 1 bis 2 Meter Reichweite des 125-kHz-Schlüsselsignals auf 20 bis 100 Meter – Diebstahl in 10 bis 30 Sekunden ohne Spuren.
- Betroffen sind alle Keyless-Fahrzeuge ab ca. 2010: Mercedes [KESSY](https://kfz-dietrich.com/glossar/#kessy), BMW Komfort-Schlüssel, VW/Audi Keyless, Toyota Smart Key, besonders häufig Land Rover und Range Rover.
- UWB-Technologie (BMW ab G-Reihe, Apple CarKey) misst tatsächliche Schlüssel-Distanz per Laufzeitmessung und blockiert Relay-Angriffe wirksam.
- Wirksamster Schutz: RFID-Schutzhülle als Faradayscher Käfig (vollständig umschließend) oder einfach eine Metalldose neben der Haustür für 0 Euro.
- Bei vielen Fahrzeugen lässt sich Keyless-Go im Fahrzeugmenü deaktivieren – Schlüssel funktioniert dann nur per Tastendruck, Relay-Attacke ist ausgeschlossen.
Keyless-Entry ist bequem – und eine Einladung für Diebe wenn der Schlüssel falsch gelagert wird. Die Relay-Attacke ist die mit Abstand häufigste Methode beim Diebstahl von Fahrzeugen mit Komfortschlüssel. Das Verständnis der Technik hilft, sich wirksam zu schützen.
Wie Relay-Attacken funktionieren
Keyless-Entry-Systeme senden permanent ein niederfrequentes Funksignal (125 kHz LF – Low Frequency). Dieses Signal hat eine begrenzte Reichweite von 1–2 Metern und dient dazu, den Schlüssel „aufzuwecken”. Ist der Schlüssel nahe genug am Auto, antwortet er auf 433 MHz (UHF – Ultra High Frequency) – das Fahrzeug entriegelt und startet.
Bei einer Relay-Attacke wird diese begrenzte Reichweite künstlich verlängert: Täter A steht vor Ihrem Haus (an der Tür oder unter dem Fenster) mit einem Empfänger, der das 125-kHz-Signal Ihres Fahrzeugs aufnimmt. Täter B steht am Auto mit einem Sender, der das Signal des Fahrzeugs in Richtung Schlüssel abstrahlt. Das Schlüsselsignal wird in Echtzeit über eine Funkbrücke übertragen. Der Schlüssel „antwortet” wie bei normalem Zugang – über die gleiche Funkbrücke zurück zum Fahrzeug. Das Auto „sieht” den Schlüssel in direkter Nähe und entriegelt.
Dauer des Angriffs: 10–30 Sekunden. Keine Spuren am Fahrzeug, kein Alarmauslösen, keine mechanischen Beschädigungen. Die Funkbrücke überwindet Entfernungen von 20–100 Metern – durch Wände, Decken und Türen hindurch. Das Signal durchdringt auch normale Gebäudemauern, solange keine metallische Abschirmung vorhanden ist.
Die technische Ausrüstung der Täter
Relay-Geräte sind im Internet für wenige Hundert Euro erhältlich. Sie bestehen aus zwei Empfänger-Sender-Einheiten, die über eine Funkstrecke kommunizieren. Die Geräte benötigen keine Kenntnis des kryptografischen Schlüsselcodes – sie leiten das Signal nur weiter. Das macht den Angriff so tückisch: Es wird keine Verschlüsselung gebrochen, sondern nur die physische Entfernung zwischen Schlüssel und Fahrzeug überbrückt.
Welche Fahrzeuge betroffen sind
Alle Fahrzeuge mit Keyless-Entry (Komfort-Schlüssel, Proximity-Schlüssel, KESSY) sind grundsätzlich anfällig. Das umfasst:
- Mercedes ab ca. 2010 mit KESSY (W212, W204 Facelift, W205, W213, GLC, GLE)
- BMW Komfort-Schlüssel ab E90/E60 Facelift, alle F-Reihe und G-Reihe
- VW/Audi Keyless ab Golf 6 GTI, Golf 7 High-Line, A4 B8/B9, Q5, Q7
- Toyota/Lexus Smart Key ab ca. 2010
- Land Rover/Range Rover (besonders häufig betroffen laut Polizeistatistik)
Neuere Fahrzeuge (ab ca. 2020) haben teilweise UWB-Technologie (Ultra-Wideband) im Schlüssel. UWB misst die tatsächliche Entfernung zwischen Schlüssel und Fahrzeug über Laufzeitmessung – Relay-Attacken werden dadurch erkannt und blockiert. BMW hat UWB ab der G-Reihe eingeführt, Apple CarKey nutzt ebenfalls UWB.
Was wirklich schützt
RFID-Schutzhülle (Faradayscher Käfig): Die Hülle aus Metallgewebe blockiert das 125-kHz-Signal vollständig. Kein Signal = kein Relay-Angriff möglich. Kosten: 8–20 €. Wirksamkeit: sehr hoch wenn richtig verwendet. Wichtig: Die Hülle muss den Schlüssel vollständig umschließen – ein offener Reißverschluss reicht für Signaldurchlass.
Schlüsselbox zu Hause: Kleine Metall-Dose (eine einfache Keksdose genügt) neben der Haustür. Schlüssel abends hineinlegen. Signal ist geblockt. Die einfachste und zuverlässigste Lösung für den Heimbereich.
Keyless-Deaktivierung über Fahrzeugmenü: Bei vielen Mercedes-, BMW- und VW-Modellen kann die Keyless-Go-Funktion im Fahrzeugmenü deaktiviert werden. Der Schlüssel funktioniert dann nur noch als normaler Funkschlüssel mit Tastendruck – Relay-Attacke ausgeschlossen. Die Komfortfunktion entfällt, aber die Sicherheit steigt erheblich.
Bewegungssensor im Schlüssel: Manche neueren Schlüssel (BMW ab G-Serie, Ford ab 2020) schalten den Funk ab, wenn der Schlüssel längere Zeit nicht bewegt wird. Liegt der Schlüssel still auf dem Tisch, sendet er nach einigen Minuten kein Signal mehr.
Was nicht schützt: Teure Alarmanlagen ohne Schlüssel-Abschirmung (Alarm wird erst nach dem Starten und Wegfahren ausgelöst), GPS-Tracker (hilft nur beim Wiederfinden, nicht beim Verhindern), Lenkradkrallen (einfach zu umgehen und verzögern nur).
Für Techniker: LF-Antennen-Topologie, UWB Time-of-Flight und Bewegungssensor-IC
Keyless-Entry-Systeme nutzen LF-Antennen (Low Frequency, 125 kHz) verteilt im Fahrzeug: typisch zwei Antennen in den Türgriffen, eine im Kofferraum, eine im Innenraum, eine am Sitzplatz. Sendeleistung pro Antenne 1–5 mW, induktive Reichweite 1,5–2,5 m. Die Antennen senden zyklisch im Sleep-Modus alle 250 ms einen Wake-Up-Burst, das Schlüssel-IC (NXP NCF295x oder vergleichbar) wertet die Signal-RSSI aus, antwortet bei ausreichender Feldstärke über UHF (433,92 MHz) mit dem Crypto-Handshake. Eine Relay-Box verstärkt die LF-Signale aktiv und überträgt sie über 868-MHz-Funk an einen zweiten Sender beim Schlüssel – die ursprüngliche RSSI-Schwelle wird umgangen.
UWB-Technologie (Ultra-Wideband, 6,5–8,0 GHz) misst über Time-of-Flight die exakte Schlüsseldistanz mit ±10 cm Genauigkeit. Im BMW G30/G05 mit Comfort Access Plus prüft das BDC bei jedem Türgriff-Auslösen sowohl LF-RSSI als auch UWB-Distanz – bleiben beide unter 2 m, öffnet die Tür. Übersteigt UWB den Schwellwert (z. B. wegen Relay-Box), bleibt die Tür verschlossen. Apple CarKey und Android Digital Key nutzen ebenfalls UWB im NFC-fähigen Smartphone.
Bewegungssensor-IC (z. B. Bosch BMA253, ST LIS3DHTR) im Schlüssel deaktiviert die LF-Empfangsschaltung nach 30 s ohne Bewegung. Effektiver Schutz im Haushalt: Schlüssel auf Tisch ablegen, nicht in Hosentasche oder Tasche. Tests im Labor: Nach 60 s Stillstand antwortet ein Mercedes-KESSY-Schlüssel mit BMA253 nicht mehr auf LF-Wake-Up.
Mess-Sequenz für Beweis-Diagnose nach Diebstahlversuch: 1) Diagnose-Eintrag im EZS/BDC für Türgriff-Aktivierung mit Zeitstempel, 2) RSSI-Werte der LF-Antennen aus Logger, 3) UWB-Authentifizierungsstatus (falls Modell vorhanden), 4) Zeitabstand zwischen Türgriff-Trigger und Schlüssel-Antwort (Sollkorridor unter 50 ms; bei Relay-Attacke Verzögerung über 200 ms). Diese Daten sind für die Versicherungsmeldung und ggf. die Polizei dokumentiert.
Wie der Spion in Tinker Tailor Soldier Spy – die Substanz versteckt sich in den Zeitstempeln.
Was XENTRY, ODIS und ISTA nach einem Diebstahlversuch dokumentieren können
Ein Relay-Angriff hinterlässt im Regelfall keine physischen Spuren am Fahrzeug – aber er hinterlässt Protokolleinträge in den Steuergeräten. Die Türgriff-Aktivierungen, RSSI-Werte der LF-Antennen und die Zeitstempel jeder Schlüssel-Kommunikation werden in den Ereignisprotokollen des Komfortsteuergeräts gespeichert.
Mit XENTRY, ODIS oder ISTA lassen sich diese Daten auslesen und dokumentieren. Eine Relay-Attacke zeigt ein charakteristisches Muster: Die Verzögerung zwischen dem Türgriff-Signal und der Schlüsselantwort liegt typischerweise bei über 200 Millisekunden statt der normalen Reaktionszeit unter 50 Millisekunden – die physikalische Signallaufzeit durch die Relay-Geräte ist nicht vermeidbar. Dieses Muster ist für eine Versicherungsmeldung oder Polizeierstattung dokumentierbar.
Bei modernen Fahrzeugen mit UWB-Technologie (BMW G-Reihe, aktuelle Mercedes GLC/GLE) ist auch die UWB-Authentifizierungshistorie auslesbar – jeder Türöffnungsversuch wird mit einem Distanzwert gespeichert. Ein Wert weit außerhalb des normalen Bereichs (z.B. 15 Meter statt 0,8 Meter) ist ein protokollierter Beweis für den Versuch.
Versicherungsrelevanz und Sorgfaltspflicht
Wer Keyless-Entry nutzt und keine Schutzmaßnahmen ergreift, kann bei einem Fahrzeugdiebstahl durch Relay-Attacke mit einer reduzierten Versicherungsleistung konfrontiert werden. Verschiedene Versicherer haben Klauseln zur „groben Fahrlässigkeit” präzisiert und verlangen, dass Fahrzeughalter bekannte Diebstahlrisiken durch angemessene Gegenmaßnahmen reduzieren.
Die Gegenmaßnahmen sind kostengünstig und technisch eindeutig wirksam: RFID-Schutzhülle, Schlüssel in Metalldose, Keyless-Deaktivierung im Fahrzeugmenü. Wer keine dieser Maßnahmen nutzt und dessen Fahrzeug per Relay-Attacke gestohlen wird, steht bei der Versicherung möglicherweise schwächer da als angenommen. Eine dokumentierte Beratung und die Nutzung des Diagnosesystems zur Systemkonfiguration (Keyless deaktivieren) stellen eine nachweisbare Sorgfaltsmaßnahme dar.
Keyless-Schutz oder Schlüsselgehäuse tauschen? Wir beraten und helfen vor Ort.
Weiterführende Informationen
Haben Sie technische Fragen zu Ihrem Fahrzeug? Schreiben Sie uns direkt per WhatsApp für eine fachliche Ersteinschätzung.
Weiterführende Informationen: