RMI-Daten: Die Einführung von SERMA

Seit dem 01.04.2024 benötigen freie Werkstattbetriebe ein SERMI-Zertifikat, um auf sicherheitsrelevante OE-Fahrzeugdaten zugreifen zu können. Was steckt dahinter?

Schon lange geht es im Tagesgeschäft der Kfz-Werkstatt nicht mehr alleine um mechanische Probleme. Vielmehr muss der Kfz-Profi bei Arbeiten am Getriebe, an der Kupplung, den Bremsen auch das »Anlernen « oder »Zurücksetzen« der Software beherrschen. Damit rückt auch der Zugangsschutz zu diesen Systemen immer mehr in den Vordergrund. Seit dem 20. Mai 2021 gilt daher ergänzend zur EU 2018/858 die Verordnung EU 2021/1244 zur Änderung des Anhangs X über die Typgenehmigung und Marktüberwachung von Kfz in allen Mitgliedstaaten der Europäischen Union. Beide Verordnungen regeln, dass die Fahrzeughersteller den freien Kfz-Betrieben Zugang zu sämtlichen relevanten Daten und Funktionen gewähren müssen, damit diese ein Kraftfahrzeug auch entsprechend warten und reparieren können. Es soll nicht zu Wettbewerbsnachteilen zwischen Marken- und markenunabhängigen Betrieben kommen. Dies gilt auch für Software-Updates. Wobei aber auch der Zugang zu sicherheits- und diebstahlrelevanten Fahrzeuginformationen sowie RMI (Repair- and Maintenance-Information) für freie Kfz-Betriebe gewährleistet sein muss.

Sonderrechte

Um hier Missbrauch vorzubeugen, kommt dem Kfz-Service-Profi seit dem 01.04.2024 jetzt eine Art Vertrauensposition zu. So muss die Person entsprechende Master und Schutzrechte für den Zugriff auf die Hard- und Software des Fahrzeugs erlangen. Nur die Personen, die diese Rechte erlangt haben, dürfen dann eine neue Hardware hinzufügen, auf sensible Daten zugreifen, eine Software installieren oder ein Update durchführen. So wird sichergestellt, dass die Hard- und Software des Fahrzeugs, auf denen sicherheits- und diebstahlrelevante Fahrzeuginformationen und RMI hinterlegt sind, vor unerlaubten Fremdzugriffen, schädlichen Updates oder fehlerhaften Installationen geschützt wird.

Um nach dem Login einen geschützten Zugang zu diesen sensiblen Daten zu erhalten, benötigt man jetzt zu den bisherigen Cyber-Security-Maßnahmen ein personalisiertes, elektronisches SERMI-Zertifikat als einheitliche Zugangslösung, um sich als autorisierte und qualifizierte Person auszuweisen. Das Kürzel SERMI (= Komitee für Secure-Repair and Maintenance-Information, das die EU-Kommission berät) steht hier für die europaweite Institution, die das sichere Zugriffssystem und Verfahren entwickelt hat, es betreibt und aufrechterhält. Auch entscheidet das SERMI-Komitee, wer innerhalb der EU als nächster Staat das SERMI-Verfahren umsetzt.

SERMI ist nicht gleich SERMA

Um ein SERMI-Zertifikat zu erhalten und um Fahrzeuge auf sichere Weise zu warten und zu reparieren, kann sich bundesweit unter anderem an SERMA (Secure-Repair and Maintenance-Authorization) als Konformitätsbewertungsstelle gewendet werden. Das Verfahren, welche Voraussetzungen erfüllt sein müssen, um ein Zertifikat zu erhalten, wird dabei von SERMI europaweit vorgegeben. SERMA als akkreditierte KBS (Konformitätsbewertungsstelle) bietet bundesweit den Service an, die Betriebe nach dem SERMI-Schema zu prüfen. Auch ein Antrag über andere zertifizierte Dienstleister, wie KIWA oder die Global Network Group TIC, ist möglich.

Das SERMI-Zertifikat ist für alle in der Kfz-Branche Tätigen, die nach Verordnung 2018/858 Artikel 3, 45 »Begriffsbestimmungen« unter den Begriff »unabhängiger Wirtschaftsakteur« fallen, relevant. Einzig Tuning-Firmen, die Veränderungen an der Nennleistung des Motors oder am Emissionsverhalten vornehmen, erhalten gemäß EU-Verordnung keine Zulassung für SERMI. Jedoch gelten Vertragswerkstätten, die an Fremdmarken arbeiten, für diese Fremdmarken als unabhängige Wirtschaftsakteure. Reine Vertragswerkstätten sind hingegen aktuell nicht von SERMI betroffen!

SERMI vs. Gateways?

Zusätzlich sind die Fahrzeughersteller seit Juli 2024 verpflichtet, ihre Neufahrzeuge mithilfe eines Cyber-Security-Management-Systems (CSMS) gegen Sicherheitsrisiken über den gesamten Lebenszyklus abzusichern (ECE-R155). So sorgen unter anderem sogenannte Cyber-Security-Gateways der Hersteller dafür, dass nicht ungehindert auf die Steuergeräte der Fahrzeuge zugegriffen werden kann. Beide Sicherheitssperren, SERMI und CSMS, sind getrennt voneinander zu betrachten. Das SERMI-Zertifikat ermächtigt dazu, auf sicherheits- und diebstahlrelevante Fahrzeuginformationen sowie RMI zuzugreifen. Das CSMS erlaubt es, eine Kommunikation mit gesicherten Fahrzeugen durch ein Security-Gateway durchzuführen.

Nicht zuletzt, weil viele Fahrzeughersteller, aber auch Kfz-Werkstätten, Updates over-the-air oder Zusatzfunktionen online freischalten, steht die Sicherheit im Fokus. Um hier Fehler zu vermeiden, muss laut EU-Richtlinie R156 (Software-Updates, gültig ab Juli 2024) die Datenintegrität gewährleistet sein. Speziell der Fahrzeughersteller hat gemäß dieser Richtlinie dafür Sorge zu tragen, dass ein sicheres Aufspielen der Software gewährleistet ist und eine Manipulation und unbefugter Zugriff verhindert werden. Für Letzteres sorgt SERMI, aber auch das CSMS.

Wer noch Fragen zu SERMI hat, kann sich an die Hotline von SERMA wenden oder an einem der dort angebotenen kostenfreien Webinare teilnehmen (www.serma.eu).