Steuergeräte gegen unerwünschte Eingriffe geschützt

Fahrzeughersteller haben in den letzten Jahren erhebliche Sicherheitsmaßnahmen eingebaut, die unbefugte Eingriffe in Steuergeräte erschweren oder verhindern sollen. Was dahinter steckt – technisch und praktisch – und was das für Werkstatt-Diagnose und Instandsetzung bedeutet.

Warum Schutzmaßnahmen eingebaut werden

Steuergeräte enthalten proprietäre Software, die erheblichen Entwicklungsaufwand repräsentiert. Gleichzeitig schützen sie Sicherheitssysteme wie Wegfahrsperren. Hersteller haben deshalb ein Interesse daran, dass:

• Software nicht einfach kopiert und auf anderen Fahrzeugen eingespielt werden kann
• Tuner keine unkontrollierten Modifikationen vornehmen können
• Gestohlene Fahrzeuge nicht durch einfache Steuergerät-Tausche umkodiert werden

Diese Interessen kollidieren manchmal mit dem Recht auf Reparatur und dem Interesse von Werkstätten und Fahrzeugbesitzern an vollständiger Kontrolle über das eigene Fahrzeug.

Read-Protection: Was es ist und was es tut

Die gebräuchlichste Schutzmaßnahme ist die sogenannte Read-Protection oder Read-out Protection. Dabei wird auf dem Mikroprozessor des Steuergeräts ein Hardware-Flag gesetzt, das das Auslesen des Flash-Speichers über die Debug-Schnittstelle blockiert.

Was das bedeutet: Ein Steuergerät mit aktivierter Read-Protection kann nicht einfach ausgelesen werden, indem man einen Programmer an die JTAG/BDM/K-Line-Schnittstelle anschließt. Der Chip gibt seinen Inhalt nicht preis.

Was es nicht verhindert: Diagnose über OBD2 und herstellerspezifische Diagnosesysteme (XENTRY, ODIS, ISTA) funktioniert weiterhin – diese Kanäle sind für autorisierte Kommunikation vorgesehen und bleiben offen.

Read-Protection schützt also primär gegen das direkte Auslesen der Firmware, nicht gegen Diagnose und Codierung über offizielle Kanäle.

Tuning-Schutz bei aktuellen Fahrzeugen

Neuere Fahrzeuggenerationen (ab ca. 2015) gehen weiter: Das Motorsteuergerät prüft beim Start, ob die Software einem erwarteten Prüfsummen-Wert entspricht. Eine modifizierte Kalibrierung (Chiptuning) produziert eine andere Prüfsumme und wird abgelehnt – das Fahrzeug startet im Notlauf oder gar nicht.

Bekannte Systeme:

• Mercedes: Geschützte ECUs erfordern SCN-Codierung über das Mercedes-Backend
• VW-Gruppe (MED17, MG1, MD1): Online-Prüfung gegen VW-Server bei bestimmten Softwareversionen
• BMW: Signatur-Prüfung bei DME-Updates

Das Chiptuning-Gewerbe hat auf diese Entwicklungen reagiert: Spezialisierte Anbieter entwickeln Methoden, um Prüfsummen korrekt zu berechnen und Signaturschutz zu umgehen. Das ist ein laufendes technisches Katz-und-Maus-Spiel.

Auswirkungen auf Diagnose und Instandsetzung

Für die ordentliche Werkstatt-Tätigkeit haben diese Schutzmaßnahmen praktische Konsequenzen:

Steuergerät-Tausch erfordert Codierung: Ein neues oder gebrauchtes Steuergerät ist ohne Codierung nicht einsatzfähig. Für VW/Mercedes/BMW erfordert das den jeweiligen Herstellerzugang.

Klonen wird aufwändiger: Bei Read-Protected Steuergeräten muss die Daten-Migration über spezielle Programmierpfade erfolgen, die nicht immer für alle Modelle verfügbar sind.

Eigenständige Programmierung entfällt: Bei SCN-kodierten Mercedes-Steuergeräten ist der alleinige Einsatz von XENTRY mit Backend-Verbindung nicht optional, sondern technisch zwingend.

Für den Fahrzeugbesitzer: Das Recht auf Reparatur in der freien Werkstatt bleibt erhalten – vorausgesetzt, die Werkstatt hat den entsprechenden Diagnose-Zugang. Herstellergebundene Werkstätten haben keinen exklusiven Anspruch auf diese Tätigkeiten.

Was mit XENTRY, ODIS und ISTA möglich ist

Als Werkstatt mit aktivem Zugang zu allen drei Herstellersystemen können wir:

• Steuergeräte tauschen und codieren (alle drei Marken-Gruppen)
• Software-Updates einspielen
• Fahrzeugspezifische Kalibrierungen vornehmen
• Steuergeräte entheiraten und neu verheiraten
• Read-Protection bei defekten Steuergeräten über autorisierte Recovery-Verfahren behandeln

Alles, was ein autorisierter Händler über seinen Diagnose-Zugang tun kann – können wir auch.

Praktische Konsequenzen für Fahrzeugbesitzer

Die zunehmende Absicherung von Steuergeräten hat einen direkten Effekt auf die Kosten und Möglichkeiten bei der Fahrzeuginstandhaltung. Wer ein Fahrzeug besitzt, bei dem das Motorsteuergerät über SCN-Codierung oder Component Protection gesichert ist, sollte folgende Punkte kennen:

Steuergerät aus Onlinehandel: Steuergeräte, die ohne professionelle Codierung beim Onlinehändler oder auf Auktionsplattformen erhältlich sind, werden im Fahrzeug ohne korrekte Anpassung nicht funktionieren. Der vermeintlich kostensparende Selbst-Einbau scheitert spätestens an der Backend-Freigabe, die nur mit zertifiziertem Diagnosesystem möglich ist.

Software-Updates ignorieren: Fahrzeughersteller veröffentlichen regelmäßig Software-Updates für Steuergeräte, die Fehler beheben, Verbrauch optimieren oder Sicherheitssysteme verbessern. Mit herstellerspezifischen Diagnosesystemen können diese Updates über die freie Werkstatt eingespielt werden – ohne Termin beim Vertragshändler.

Kalibrierung nach Tausch: Wer ein Steuergerät tauscht, ohne die zugehörige Kalibrierung durchzuführen, riskiert fehlerhafte Systemfunktionen. Das betrifft nicht nur den Motor: Getriebesteuergeräte, Airbag-Module und Lenkhilfen benötigen nach dem Tausch oft eine fahrzeugspezifische Grundcodierung, die das Steuergerät erst betriebsbereit macht.

Garantie-Aspekte: Modifikationen an der Steuergeräte-Software können bestehende Garantieansprüche beeinflussen. Wir führen ausschließlich Arbeiten durch, die den Originalzustand des Fahrzeugs wiederherstellen oder erhalten – keine nicht freigegebenen Softwareänderungen, die die Herstellergarantie gefährden.

Für Techniker: Tricore Read-Protect-Bit, Bosch RSA-Bootloader und Bench-Recovery

Read-Protection bei Infineon Tricore (TC1796/97 in EDC17/MED17) wird über das CMU_PROCONxx-Register gesetzt – ein einmal programmiertes Bit kann nicht mehr zurückgesetzt werden, JTAG/BSL-Auslesen blockiert. Bench-Lesen via Magic Motorsport Flex oder KTAG arbeitet über den BSL-Mode (Boot-Strap-Loader) am DBGTDI-Pin: Reset mit aktiviertem BSL-Trigger, MCU lädt einen kleinen Loader ins Scratch-RAM, dieser dumpt das Flash über CAN oder UART. Bei aktivem Read-Protect wirft die Sequenz einen ECC-Error und scheitert – einzige Möglichkeit dann Chip-Off oder verkaufsfertiges Tool mit Hersteller-Bypass.

Bosch ab MED17.5 und EDC17C81 implementieren RSA-2048-signierte Bootloader: jeder Schreibzugriff prüft die Signatur über den im OTP-Bereich abgelegten Public-Key. WinOLS-modifizierte Files mit korrekter CRC scheitern an der RSA-Prüfung – das ECU bootet ins Diagnose-Notlaufprogramm und meldet P0606 oder P062F. Workaround nur über Originalsignatur-Files vom Hersteller-Backend, deshalb Tuning bei Mercedes ab W205 MoPf, BMW G-Reihe und VW MEB praktisch unmöglich ohne aktiven Bench-Zugang mit Hersteller-Tool.

VAG MG1CS001 (Continental, Audi A6 C8): nutzt 32-Bit-MCU mit Secure Boot über AES-128. Bench-Read nur mit speziellem MG1-Adapter im Boot-Mode, Schreiben braucht aktive Hersteller-Token vom FAZIT-Backend. Component Protection zusätzlich über Online-SVM-Maßnahme. Bei Reparatur muss komplett-Image inkl. Boot-Sektor geklont werden – und die EEPROM-Daten (ISN, Cluster-Pairing) ebenfalls 1:1 migriert. Daten-Trennung verhindert Reverse Engineering, schützt aber legitime Werkstatt-Reparaturen ebenfalls.

Wer wie in Mr. Robot ein RSA-2048-signiertes ECU mit gepatchter Firmware flasht, scheitert am Hardware-Trust-Anchor – das Steuergerät bleibt im Bootloader-Modus stecken.

Steuergerät-Reparatur, Klonen oder Codierung: Wir haben die Systeme und das Fachwissen. Telefon: 05505 5236 oder WhatsApp.

---

Weiterführende Informationen

• Spezialisierte Fahrzeugdiagnose & Instandsetzung
• Steuergerät-Service
• Steuergerät klonen
• Steuergerät-Diagnose

---

Das könnte Sie auch interessieren

• ECU-Software-Update: Mehr als nur Bugfixes
• ECU Programmierung vs. Codierung – was ist der Unterschied?
• VW/Audi EDC17 Schreibschutz – ECU nicht auslesbar?