Nils Dietrich 10 Min Lesezeit
Fachlich geprüft · Kfz-Meisterbetrieb Dietrich · So prüfen wir Inhalte
WegfahrsperretransponderAutoschlüsselDiagnose

Wegfahrsperren-Generationen: vom Festcode zum Rolling Code

Festcode, Crypto-Transponder, Rolling Code: wie sich Wegfahrsperren entwickelt haben und was das beim Nachschlüssel je Generation bedeutet – mit FBS3/FBS4.

Wegfahrsperren-Generationen: vom Festcode zum Rolling Code
TL;DR
  • Wegfahrsperren haben drei große Generationen durchlaufen: Festcode-Transponder (ab ca. 1995), Crypto-Transponder mit Challenge-Response (ab ca. 1998) und AES-/Rolling-Code-Systeme mit Hersteller-Backend (ab ca. 2010).
  • Jede Generation bedeutet einen anderen Weg zum Nachschlüssel: kopieren, per Diagnose anlernen oder online beim Hersteller autorisieren – die Aufwände unterscheiden sich erheblich.
  • Mercedes zeigt den Sprung exemplarisch: FBS3 lässt sich in der Fachwerkstatt vollständig bedienen, FBS4 verlangt die signierte Freigabe aus dem Mercedes-Backend.
  • Beim Schlüsselverlust entscheidet die Generation über Dauer und Ablauf – vom Werkstatttag bis zum dokumentationspflichtigen Herstellerprozess mit Halternachweis.
  • Vor jedem Schlüssel- oder Steuergeräte-Tausch steht bei uns der Befund: Transponder, Ringantenne und Steuergerät werden einzeln geprüft, getauscht wird nur, was nachweislich defekt ist.

Wer heute einen Nachschlüssel braucht, bekommt je nach Fahrzeug völlig unterschiedliche Antworten: Beim einen Auto ist der Schlüssel am selben Tag fertig, beim anderen dauert es zwei Wochen und verlangt einen Halternachweis. Der Grund ist keine Willkür, sondern Technikgeschichte. Wegfahrsperren haben sich seit Mitte der 1990er-Jahre in drei großen Generationen entwickelt – und jede Generation hat ihre eigenen Regeln dafür, wie ein neuer Schlüssel ins System kommt.

Dieser Beitrag ordnet die Generationen chronologisch ein und zeigt, was sie in der Praxis bedeuten: beim Nachschlüssel, beim Totalverlust und bei der Diagnose. Wer tiefer in die einzelnen Chip-Familien einsteigen möchte, findet die Details in unserem Beitrag zu den Transponder-Typen vom PCF7935 bis zum MQB-Chip – hier geht es um das große Bild.

Warum es überhaupt Generationen gibt

Die elektronische Wegfahrsperre wurde ab 1995 in Deutschland faktisch zur Pflicht: Versicherer verlangten sie als Bedingung für den Kaskoschutz, nachdem die Diebstahlzahlen Anfang der 1990er-Jahre historische Höchststände erreicht hatten. Die Hersteller mussten in kurzer Zeit eine Lösung in Millionen Fahrzeuge bringen – entsprechend einfach fiel die erste Generation aus.

Was folgte, war ein Wettlauf: Sobald ein Verfahren angreifbar wurde, zog die nächste Generation nach. Aus festen Codes wurden verschlüsselte Frage-Antwort-Spiele, aus 48-Bit-Geheimnissen wurde AES-128, aus der lokalen Schlüsselverwaltung im Steuergerät wurde die zentrale Verwaltung im Hersteller-Backend. Jeder dieser Schritte hat den Diebstahlschutz verbessert – und gleichzeitig die Hürde für den legitimen Nachschlüssel erhöht. Genau diese Doppelwirkung erklärt, warum die Generation Ihres Fahrzeugs für jeden Schlüsselauftrag die erste und wichtigste Frage ist.

Generation 1: Festcode-Transponder (ca. 1995–2000)

Die erste Generation arbeitet denkbar geradlinig. Im Schlüsselkopf sitzt ein passiver Transponder – etwa ein PCF7935 im Festcode-Modus oder ein Megamos-ID13 –, der eine fest einprogrammierte Kennung trägt. Beim Einschalten der Zündung baut die Ringantenne am Zündschloss ein elektromagnetisches Feld auf, der Chip bezieht daraus seine Energie und funkt seine Kennung zurück. Stimmt sie mit der im Wegfahrsperren-Steuergerät hinterlegten Liste überein, gibt das Steuergerät den Motorstart frei.

Die Schwäche liegt im Konzept: Die Kennung ist statisch. Sie ändert sich nie, sie lässt sich auslesen und auf einen beschreibbaren Rohling übertragen. Für die Werkstatt ist das beim Nachschlüssel ein Vorteil – ein Duplikat ist mit dem richtigen Equipment zügig erstellt, oft ohne dass das Fahrzeug überhaupt in die Programmierung muss. Für den Diebstahlschutz war es das Ende dieser Generation: Ein System, dessen Geheimnis man mitlesen kann, schützt nur gegen Gelegenheitstäter.

Nachschlüssel in der Praxis: Duplizieren des Transponders auf einen Rohling oder Anlernen über die Diagnose. Auch beim Verlust aller Schlüssel lässt sich der hinterlegte Code in aller Regel direkt aus dem Steuergerät auslesen. Aufwand: gering, meist ein Termin.

Generation 2: Crypto-Transponder mit Challenge-Response (ca. 1998–2012)

Die zweite Generation dreht das Prinzip um: Statt eine Kennung zu senden, beweist der Schlüssel, dass er ein Geheimnis kennt – ohne das Geheimnis preiszugeben. Das Steuergerät schickt eine Zufallszahl (Challenge), der Transponder verrechnet sie mit seinem geheimen Schlüssel und antwortet mit dem Ergebnis (Response). Das Steuergerät führt dieselbe Rechnung durch und vergleicht. Da die Challenge bei jedem Start neu gewürfelt wird, nützt einem Angreifer das Mitschneiden nichts – die nächste Frage ist eine andere.

Die prägenden Chip-Familien dieser Ära sind Megamos Crypto (ID48, unter anderem VW Immo III), Philips/NXP Hitag2 (ID46, weit verbreitet von Opel über BMW bis PSA) und Texas Instruments DST (4D, etwa bei Toyota und Ford). Die Schlüssellängen lagen typisch bei 40 bis 48 Bit – nach damaligem Stand solide, nach heutigem Stand der Grund, warum diese Generation mit professionellem Spezialwerkzeug wie AVDI weiterhin vollständig beherrschbar ist. Für die VW-Welt haben wir die Entwicklungsstufen Immo III, IV und V in einem eigenen Beitrag aufgeschlüsselt, für BMW die EWS- und CAS-Systeme samt ISN.

Nachschlüssel in der Praxis: Mit vorhandenem Originalschlüssel lernen wir den Neuschlüssel über die Herstellerdiagnose an – der Originalschlüssel autorisiert den Vorgang. Beim Totalverlust lesen wir die kryptografischen Daten aus dem Wegfahrsperren- oder Motorsteuergerät aus und erzeugen daraus einen funktionsfähigen Schlüssel. Aufwand: moderat, je nach System ein bis zwei Termine. Wichtig: Ein falscher Schreibvorgang mit ungeeignetem Werkzeug kann manche dieser Chips dauerhaft sperren – ein Grund mehr, die Generation vor dem Eingriff exakt zu bestimmen.

Generation 3: Rolling Code, AES und das Hersteller-Backend (ab ca. 2010)

Die dritte Generation verschärft zwei Dinge gleichzeitig. Erstens die Kryptografie: Moderne Transponder (Hitag-3, Hitag-AES, ID49, MQB-Chips) rechnen mit AES-128 – einer Schlüssellänge, bei der das Durchrechnen aller Kombinationen praktisch ausscheidet. Zusätzlich wandert bei jedem Startvorgang ein Synchronzähler mit, sodass sich Schlüssel und Steuergerät bei jedem Kontakt auf einen neuen Stand einigen – das Rolling-Code-Prinzip, dessen Mechanik wir in einem eigenen Grundlagenbeitrag erklären.

Zweitens – und für die Praxis folgenreicher – die Schlüsselverwaltung: Der Vertrauensanker liegt nicht mehr im Fahrzeug, sondern beim Hersteller. Neue Schlüssel werden im Backend für genau eine Fahrzeug-Identifikationsnummer vorbereitet und erst nach Online-Freigabe aktiv. VW realisiert das im MQB-Verbund über ODIS mit Online-Anbindung, BMW über FEM/BDC mit ISTA, Mercedes über FBS4 mit XENTRY. Ohne Herstellerzugang und ohne Berechtigungsnachweis entsteht kein funktionierender Schlüssel – konstruktiv gewollt.

Nachschlüssel in der Praxis: Anlernen ausschließlich über die Online-Diagnose des Herstellers, beim Totalverlust zusätzlich Halternachweis und Bestellprozess. Aufwand: höher, mit Wartezeit auf die werkseitige Schlüsselvorbereitung. Der Gewinn: Ein gestohlenes Fahrzeug dieser Generation lässt sich nicht mit einem nachgemachten Schlüssel in Betrieb nehmen.

Mercedes als Lehrstück: FBS3 und FBS4

Kaum ein Hersteller zeigt den Generationensprung so deutlich wie Mercedes-Benz. Das Fahrberechtigungssystem FBS3 (grob 1997 bis ca. 2014, je nach Baureihe) bildet einen geschlossenen kryptografischen Verbund aus Schlüssel, elektronischem Zündschloss (EZS/EIS) und Motorsteuergerät. Die Daten dieses Verbunds lassen sich mit Spezialwerkzeug aus den Komponenten gewinnen – eine qualifizierte Fachwerkstatt kann deshalb auch bei Totalverlust einen neuen Schlüssel erstellen und anlernen, ohne dass das Fahrzeug Mercedes je verlassen muss.

FBS4 (je nach Baureihe ab ca. 2013/2014, konsequent ab etwa 2016) kappt genau diesen Weg: Jeder Schlüssel wird im Mercedes-Backend für ein einziges Fahrzeug erzeugt und signiert. Das EZS akzeptiert nur, was der Hersteller autorisiert hat. Für den Eigentümer bedeutet das beim Schlüsselverlust einen formalisierten Prozess mit Halternachweis und Lieferzeit – und ein Schutzniveau, an dem sich die Branche orientiert. Den technischen Vergleich beider Systeme inklusive der Frage, welche Steuergeräte betroffen sind, finden Sie in unserem Beitrag FBS3 und FBS4 im Unterschied.

Schlüsselverlust: Was je Generation auf Sie zukommt

GenerationMit RestschlüsselAlle Schlüssel verloren
Festcode (ca. 1995–2000)Transponder duplizieren oder anlernen – meist ein TerminCode aus dem Steuergerät auslesen, Schlüssel neu erstellen
Crypto (ca. 1998–2012)Neuschlüssel per Diagnose anlernen, Originalschlüssel autorisiertSteuergerätedaten auslesen, Schlüssel berechnen – Spezialwerkzeug nötig
AES/Backend (ab ca. 2010)Anlernen über Online-Diagnose des HerstellersHalternachweis, Backend-Freigabe, werkseitig vorbereiteter Schlüssel – Wartezeit einplanen

Zwei Konsequenzen daraus: Erstens ist der Zweitschlüssel die beste Vorsorge – solange ein Schlüssel existiert, bleibt jeder Weg einfacher. Zweitens lohnt es sich beim Totalverlust, vor der Bestellung beim Hersteller die Generation prüfen zu lassen: Bei Fahrzeugen bis etwa Baujahr 2012 ist der Weg über die spezialisierte Werkstatt häufig der direktere. Den vollständigen Notfall-Ablauf haben wir im Beitrag Alle Schlüssel verloren dokumentiert.

Befund vor Tausch: So grenzen wir Wegfahrsperren-Probleme ein

„Motor startet nicht, Wegfahrsperren-Leuchte blinkt” heißt nicht automatisch „Schlüssel defekt”. Der Transponder ist nur ein Glied einer Kette aus Chip, Ringantenne, Verkabelung, Wegfahrsperren-Steuergerät und Motorsteuergerät – und jedes Glied kann die gleichen Symptome erzeugen. Bevor bei uns ein Teil getauscht wird, steht deshalb der Befund:

  1. Fehlerspeicher auslesen – mit XENTRY, ODIS, ISTA oder AVDI, je nach Marke. Einträge wie „kein Transponder-Signal” oder „Authentifizierung fehlgeschlagen” zeigen unterschiedliche Fehlerorte.
  2. Gegenprobe mit dem Zweitschlüssel – startet der Zweitschlüssel, liegt das Thema beim ersten Schlüssel. Startet keiner, rückt die Fahrzeugseite in den Fokus.
  3. Transponder im Feld prüfen – antwortet der Chip auf die Abfrage des Lesegeräts, ist er funktionsfähig; die typischen Defekt-Symptome lassen sich so sauber abgrenzen.
  4. Ringantenne und Verkabelung messen – gebrochene Antennenwicklungen und Steckkontakte am Zündschloss sind ein häufiger, kostengünstig behebbarer Befund.
  5. Erst dann entscheiden – getauscht oder programmiert wird die Komponente, die nachweislich nicht arbeitet. Ein Schlüssel auf Verdacht ist bei Backend-Systemen nicht nur unnötig teuer, sondern auch unnötig langwierig.

Diese Reihenfolge ist kein Selbstzweck: In über 40.000 Aufträgen seit 1978 hat sich gezeigt, dass der gemessene Befund fast immer schneller und wirtschaftlicher zum Ziel führt als der Austausch nach Vermutung. Dass dieser Ansatz trägt, lesen wir auch an unserer Wiederkehrquote ab – 58,7 Prozent unserer Kunden aus dem Vorjahr kamen 2025 wieder zu uns.

Für Interessierte: Wegfahrsperren-Generationen als Kinokarte (Film-Analogie)

Stellen Sie sich den Motorstart als Kinoeinlass vor. Generation 1 (Festcode) ist die gedruckte Eintrittskarte: Auf ihr steht immer derselbe Aufdruck, der Einlass vergleicht ihn mit seiner Liste. Wer die Karte fotokopiert, kommt hinein. Generation 2 (Crypto) ist der Einlasser, der jedem Gast eine andere Rechenaufgabe stellt, deren Lösung nur mit einem geheimen Codebuch gelingt – das Codebuch selbst wird nie gezeigt. Abgucken hilft nicht, denn die nächste Aufgabe lautet anders. Generation 3 (Rolling Code + Backend) ist das personalisierte Online-Ticket mit Einmal-Code: Es wird zentral vom Verleih ausgestellt, gilt für genau eine Vorstellung und entwertet sich mit der Nutzung – der Zähler läuft bei jedem Einlass weiter.

Die Physik dahinter, mit Sollwerten aus der Praxis: Der Transponder ist passiv und wird induktiv versorgt – die Ringantenne am Zündschloss arbeitet im LF-Band bei 125 kHz (Hitag-Familie; Texas-DST bei 134,2 kHz). Die nutzbare Koppel-Reichweite liegt bei nur 1 bis 8 cm, die übertragene Energie im Mikrowatt-Bereich – deshalb funktioniert der Transponder auch mit leerer Funkschlüssel-Batterie. Die Antwort erfolgt per Lastmodulation, der komplette Challenge-Response-Dialog ist nach etwa 50 bis 150 ms abgeschlossen, für den Fahrer nicht wahrnehmbar. Kryptografisch trennt die Generationen die Schlüssellänge: Hitag2 rechnet mit 48 Bit (2⁴⁸ ≈ 2,8 × 10¹⁴ Kombinationen – für moderne Rechentechnik angreifbar), AES-128 mit 128 Bit (2¹²⁸ ≈ 3,4 × 10³⁸ – ein Brute-Force-Angriff scheidet praktisch aus). Der Rolling-Code-Synchronzähler toleriert dabei ein definiertes Vorlauffenster, damit ein außerhalb des Fahrzeugs gedrückter Schlüssel nicht aus der Synchronisation fällt.

Weiterführende Informationen

Schlüsselfrage offen? Wir bestimmen die Generation – und den direkten Weg

Ob Nachschlüssel als Vorsorge, sporadische Startverweigerung oder Totalverlust: Der erste Schritt ist immer derselbe – die Wegfahrsperren-Generation Ihres Fahrzeugs exakt bestimmen. Mit XENTRY, ODIS, ISTA und AVDI decken wir alle drei Generationen ab, vom Festcode-Transponder des Jugendtimers bis zum FBS4-Schlüssel aus dem Hersteller-Backend. 2.032 Aufträge allein im Jahr 2025 zeigen: Wer mit Befund statt Vermutung arbeitet, kommt auf dem kürzesten Weg zum startenden Motor.

Rufen Sie uns an unter 05505 5236 oder schreiben Sie uns mit FIN und Baujahr direkt per WhatsApp – wir sagen Ihnen vorab, welcher Weg für Ihr Fahrzeug der richtige ist und was Sie dafür mitbringen müssen.

Häufig gestellte Fragen

Welche Wegfahrsperren-Generation hat mein Fahrzeug?

Das Baujahr gibt eine erste Orientierung: Fahrzeuge von etwa 1995 bis 2000 arbeiten überwiegend mit Festcode-Transpondern, von etwa 1998 bis 2012 mit Crypto-Transpondern (Challenge-Response), ab etwa 2010 mit AES-Verschlüsselung und Online-Anbindung an das Hersteller-Backend. Verlässlich klären lässt sich die Generation aber nur über die Fahrzeug-Identifikationsnummer (FIN) und die Auslese des Wegfahrsperren-Steuergeräts, denn die Übergänge verliefen je Hersteller und Modellreihe unterschiedlich. Ein Golf IV nutzt beispielsweise bereits Megamos Crypto, während mancher gleichaltrige Kleinwagen noch einen Festcode-Chip trägt. Wir bestimmen die Generation vor jedem Schlüsselauftrag exakt – das entscheidet über Werkzeug, Ablauf und Aufwand. Halten Sie dazu FIN und Fahrzeugschein bereit.

Warum lässt sich ein moderner Schlüssel nicht einfach kopieren wie ein alter?

Ein Festcode-Transponder der ersten Generation sendet immer dieselbe Kennung – diese lässt sich auf einen Rohling übertragen, das Steuergerät erkennt keinen Unterschied. Ab der Crypto-Generation prüft die Wegfahrsperre den Schlüssel per Challenge-Response: Das Steuergerät stellt eine Zufallsfrage, die nur ein Transponder mit dem richtigen geheimen Schlüssel korrekt beantworten kann. Dieser geheime Schlüssel verlässt den Chip nie und kann nicht einfach mitgelesen werden. Bei aktuellen Systemen mit AES-128 und Rolling Code kommt hinzu, dass neue Schlüssel kryptografisch über das Hersteller-Backend autorisiert werden müssen. Kopieren im klassischen Sinn ist hier konstruktiv ausgeschlossen – genau das ist der Diebstahlschutz.

Was passiert beim Verlust aller Schlüssel je nach Generation?

Bei Festcode- und frühen Crypto-Systemen lesen wir die Wegfahrsperren-Daten direkt aus dem Steuergerät aus und lernen neue Schlüssel auf dieser Basis an – das Fahrzeug bleibt vollständig funktionsfähig, der Ablauf dauert je nach System oft nur einen Werkstatttag. Bei modernen Systemen mit Backend-Anbindung (etwa Mercedes FBS4, VW MQB, BMW FEM/BDC) führt der Weg zwingend über die geschützte Schlüsselverwaltung des Herstellers: Halternachweis, Online-Freigabe, bestellter oder vor Ort programmierter Neuschlüssel. Das dauert länger und ist dokumentationspflichtig – aus gutem Grund, denn dieselbe Hürde schützt Ihr Fahrzeug vor Diebstahl. Wir begleiten beide Wege mit XENTRY, ODIS, ISTA und AVDI.

Mein Zweitschlüssel startet den Motor nicht mehr – ist der Transponder defekt?

Nicht zwangsläufig. Ein Transponder ist ein passives Bauteil ohne Batterie und ohne bewegliche Teile – er fällt selten spontan aus. Häufigere Ursachen sind eine geschwächte oder beschädigte Ringantenne am Zündschloss, Kabelbrüche im Zuleitungsbereich, ein nach Batteriewechsel oder Reparatur desynchronisierter Rolling-Code-Zähler oder schlicht ein nie angelernter Ersatzschlüssel. Vor jedem Teiletausch steht deshalb der Befund: Wir lesen den Fehlerspeicher der Wegfahrsperre aus, prüfen, ob der Transponder im Feld der Antenne überhaupt antwortet, und messen die Antenne durch. Erst wenn der Chip nachweislich nicht reagiert, ist der Schlüssel selbst das Thema – alles andere wäre Austausch auf Verdacht.

Was unterscheidet Mercedes FBS3 von FBS4 beim Schlüssel-Anlernen?

FBS3 (grob 1997 bis ca. 2014) arbeitet mit einem geschlossenen Verbund aus Schlüssel, Zündschloss (EZS/EIS) und Motorsteuergerät, dessen kryptografische Daten sich mit Spezialwerkzeug aus den Komponenten berechnen lassen. Ein Neuschlüssel kann daher in der Fachwerkstatt erstellt und angelernt werden, auch bei Totalverlust. FBS4 (je nach Baureihe ab ca. 2013/2014) verlagert den Vertrauensanker in das Mercedes-Backend: Jeder neue Schlüssel wird werkseitig für genau ein Fahrzeug vorbereitet und online freigeschaltet – ohne signierte Freigabe des Herstellers läuft nichts. Für Sie heißt das: längere Lieferzeit, Halternachweis erforderlich, dafür ein nochmals höheres Schutzniveau. Details vertieft unser FBS3/FBS4-Vergleichsbeitrag.

Lohnt sich bei einem älteren Fahrzeug ein zweiter Schlüssel als Vorsorge?

Ja, und zwar bevor der letzte Schlüssel verloren geht. Solange ein funktionierender Schlüssel existiert, ist das Anlernen eines weiteren bei fast allen Generationen deutlich einfacher: Bei Festcode-Systemen genügt das Duplizieren des Transponders, bei Crypto-Systemen lernen wir den Neuschlüssel mit vorhandenem Originalschlüssel über die Diagnose an. Erst der Totalverlust macht den Vorgang aufwendig – bei Backend-gebundenen Systemen kommen dann Wartezeit und Herstellerprozesse hinzu, bei älteren Fahrzeugen mitunter die Suche nach nicht mehr lieferbaren Originalteilen. Ein Zweitschlüssel ist deshalb eine der wirksamsten Investitionen in die Einsatzbereitschaft Ihres Fahrzeugs. Wir beraten Sie, welcher Weg für Ihre Generation der richtige ist.

WhatsApp