Tachobetrug – der volkswirtschaftliche Schaden durch frisierte Wegstreckenzähler geht in die Milliarden. Schätzungen zufolge ist in Deutschland jede dritte Fahrleistung zu niedrig angegeben. Betroffene Gebrauchtwagen sind dadurch im Schnitt 3.000 Euro zu teuer. Wie einfach Tachobetrug ist, zeigen zwei Experimente.
Illegales Kilometer-Tuning erscheint auf den ersten Blick attraktiv. Etwa für Privatleute und Firmenwagennutzer, die ungeplant die erlaubte Gesamtfahrleistung überschritten haben. Oder für Leasingnehmer, die von vornherein eine niedrige Kilometerleistung angegeben haben, um die Monatsraten kleinzuhalten. Autoverkäufer können ein paar Hundert oder gar Tausend Euro mehr erlösen. Und auch für Händler kann es sich rechnen, wenn sie einen Gebrauchten "schminken" und anschließend mit geringer Laufleistung inserieren.
"Noch immer nicht ausreichend geschützt"
"Tachobetrug zieht sich durch alle Gesellschafts- und Altersgruppen", sagt Florian Hördegen, Leiter Fahrzeugtechnik im ADAC-Technikzentrum Landsberg/Lech (Bayern). "Die Tachos sind noch immer nicht ausreichend geschützt." Obwohl Paragraf 22b des Straßenverkehrsgesetzes seit 2005 das Verändern des Tacho-Standes an einem fest im Auto eingebauten Wegstreckenzähler bereits ohne Täuschungsabsicht unter Strafe stellt, boomt das illegale Geschäft nach wie vor. Der Grund: Es ist immer noch viel zu einfach. Hördegen: "Man hat gedacht, mit der Einführung digitaler Tachos sei das Thema endlich erledigt. Leider ist das Gegenteil eingetreten – es ist sogar noch schlimmer geworden."
Neben der Schattenwirtschaft von Tacho-Dienstleistern gibt es auch fertige Geräte, mit denen jedermann die Fahrleistung selbst manipulieren können soll. Zu Demo-Zwecken hält der ADAC ein solches Manipulationsgerät bereit, mit dem auch professionelle Tacho-Dienste arbeiten. Der Vorteil dieses Modells: Die Software weiß genau, in welchen Steuergeräten eines Autos Kilometerwerte abgelegt sind. Florian Hördegen: "Wenn ein Tacho professionell gedreht wurde, findet man auf keinem Steuergerät mehr unplausible Daten. Deshalb brauchen wir endlich eine besser geschützte Hardware."
Kilometerstand fälschen im Selbstversuch
Wie einfach das Fälschen ist, will auto motor und sport zusammen mit den Experten im ADAC-Technikzentrum herausfinden. Die Staatsanwaltschaft hat vorher grünes Licht gegeben, nach dem Ende des Experiments werden alle Zähler wieder auf den vorherigen Stand gestellt. Den Anfang macht ein Hyundai i20, Baujahr 2020. Fahrleistung: 51.974 Kilometer. Über die OBD-Schnittstelle schließen wir das Gerät an, das im Internet für einen niedrigen fünfstelligen Betrag zu haben ist, geben auf dem Touchscreen das Modell ein. Zunächst lesen wir den echten Kilometerstand aus, tippen dann den gewünschten Wert von 20.000 ein. Sekunden später erscheint diese Zahl auf der Cockpit-Anzeige.
Moderne Manipulationsgeräte verlangten keine Vorkenntnisse, sagt ADAC-Mann Hördegen. "Ein Gerät wie dieses kann jeder einsetzen, man braucht kein technisches Hintergrundwissen. Die Manipulation des Kilometerstandes ist aber verboten und wird mit bis zu einem Jahr Gefängnis bestraft." Im Fall des i20 hat sich der Händlerverkaufspreis in einer guten Minute durch wenige Klicks von 11.750 auf 12.800 Euro erhöht. "Mit einer professionellen Aufbereitung wäre der Hyundai nicht als gedreht erkennbar", sagt ADAC-Experte Hördegen.
Wartungen unterbleiben nach dem "Runterdrehen"
Ein paar Hundert Euro beim "Tacho-Justierer" sind also schnell wieder drin. Den Schaden haben andere. Etwa der Aufkäufer eines Leasing-Rückläufers. Womöglich sind auch vorgeschriebene Inspektions- und Servicetermine umgangen worden. Im Fall von Bremsen oder anderen sicherheitsrelevanten Bauteilen kann das lebensgefährlich werden.
Der zweite Kandidat, ein Opel Corsa-e (Vor-Facelift), musste bisher nicht in die Inspektion. Er hat 10.844 Kilometer hinter sich. Wir wollen aus dem Wagen eine Tageszulassung mit 12 Kilometern machen. Nach dem kleinen Eingriff läge der Händlerverkaufspreis bei 18.012 statt 16.550 Euro – ein Gewinn von 1.462 Euro. Wie beim Hyundai muss zuerst der aktuelle Kilometerstand ausgelesen, die Zündung dafür ein- und ausgeschaltet werden. Ein kleines Fenster auf dem Display des Manipulationsgerätes gibt mir diesen und andere Schritte genau vor. Nach Eingabe der Zielzahl 12 fordert mich das Gerät auf, den Corsa erneut zu starten, den neuen Wert zu bestätigen und den E-Antrieb wieder abzustellen.
Danach passiert erst einmal nichts. Das Opel-Cockpit ist nun komplett schwarz, nicht einmal das Werkstatt-Symbol erscheint. Auf dem Programmier-Tool zeigt ein Prozentwert an, wie weit der Prozess ist. Nach gut drei Minuten dann die Aufforderung, die Türen zu schließen, um den neuen Kilometerstand zu speichern. Doch zunächst zeigt das Cockpit nach dem Start weiter die alte Fahrleistung an. Erst nach ein paar Metern Fahrt ändert sich das. Ergebnis: eine fast neue Tageszulassung mit 12 Kilometern – zumindest auf den ersten Blick.
EU-Gesetz schützt Tacho – eigentlich
Eigentlich darf das gar nicht sein. Die EU-Verordnung 2017/1151 gibt den Herstellern vor, den Kilometerstand im Auto systematisch zu schützen. Das Gesetz gilt seit September 2017 für neue Automodelle und seit September 2018 für alle Neuwagen. Doch bis heute vermisst der ADAC eine detaillierte Vorschrift, wie dieser Schutz aussehen und welche neutrale Stelle ihn überprüfen soll.
Dabei gab es zwischenzeitlich so etwas wie einen Teilerfolg. Bei der Auswertung von Internetseiten war den Autoclub-Fachleuten aufgefallen, dass der Golf VIII (ab Ende 2019) und der Audi A3 (ab 2020) auf den Angebotslisten einschlägiger Tacho-Justierdienste nicht mehr auftauchten. Hintergrund sind laut dem ADAC sogenannte Hardware Security Modules (HSM), die den Kilometerstand quasi für immer "einsperren".
Neue Methode: Voltage Glitching
Bei der "Lebenslang-Vergitterung" handelt es sich um ein System, bei dem man den externen Zugang zum Speicher des Chips unterbinden kann. Dies lässt sich allerdings nur einmalig durchführen und kann danach auf Dauer weder entfernt noch verändert werden. "Es ist, als ob man einen Tresor abschließen und anschließend den Schlüssel vernichten würde", sagt Christian Werling, Doktorand an der Technischen Universität (TU) Berlin. Nur wer den Zugangscode kennt, kommt in die Schatzkammer – also etwa VW-Servicebetriebe. Senden Unbefugte eine Kilometerstands-Abfrage an den Chip, bekommen sie keine Antwort. Eigentlich.
Doch seit einiger Zeit kursieren im Internet Videos professioneller Soft- und Hardware-Anbieter, die zeigen: Auch beim Golf VIII und einigen Derivaten lässt sich die gespeicherte Laufleistung trotz HSM-Schutz manipulieren. Allerdings muss dafür die Tacho-Einheit ausgebaut und ein Kabel an die Platine gelötet werden. Aber danach kann es recht zügig gehen. Durch sehr schnelles Aus- und Einschalten der Versorgungsspannung (drei Attacken pro Sekunde) gerät der Prozessor in einen instabilen Zustand und kann sich verrechnen.
Geräte ab 300 Euro im Internet erhältlich
Ein Ergebnis der "Voltage Glitching" genannten Methode: Ein Authentifizierungsschritt wird ausgelassen oder ein Algorithmus falsch kalkuliert. Die Ausweiskontrolle wird dann "vergessen", der Eindringling gelangt ungehindert in den Tresorraum. Im Internet werden Glitching-Geräte, die sich an einen Laptop anschließen lassen, ab 300 Euro angeboten. Mit der dazugehörigen Software lässt sich die Kilometerstands-Änderung bequem erledigen – so wie mit dem OBD-Gerät beim ADAC.
Aber wie funktioniert so ein Angriff im Labor? In unserem Auftrag sollen Niclas Kühnapfel und Christian Werling von der TU Berlin das herausfinden. Die beiden Doktoranden der IT-Sicherheit waren 2023 per Voltage Glitching in den Infotainment- und Autopilot-Chip eines Tesla Model 3 eingedrungen.
IT-Sicherheitsexperten dringen in Datenspeicher ein
Für 150 Euro kauft auto motor und sport eine Tacho-Einheit für einen Golf VIII, die wegen eines gebrochenen Rahmens nicht mehr in Autos verwendet werden kann. Nach ein paar Wochen melden die Wissenschaftler einen ersten Teilerfolg: Sie können die Daten auf dem Chip lesen. "Das dürfte eigentlich nicht sein", sagt Niclas Kühnapfel. Theoretisch könnten sie den Chip auch beschreiben, was natürlich ebenfalls nicht funktionieren sollte. Doch dafür müssten sie inmitten des binären Zahlen-Heuhaufens aus Nullen und Einsen genau die Stelle finden, an der die Stecknadel mit der Laufleistung versteckt ist. Sie zu finden, wäre "ein aufwendiges und langwieriges Reverse Engineering", so Niclas Kühnapfel. "Security by Obscurity" ("unübersichtlicher Systemzustand") nennen Fachleute wie er diesen Zustand.
Heißt: Der Tacho ist zwar sicher. Aber nur, weil es am Ende eine Frage des Aufwandes ist, ihn zu überlisten. Professionelle Anbieter sind diese zusätzliche Meile gegangen. Die beiden Informatiker verweisen darauf, dass Chips, die Spannungswechsel erkennen und sich dann selbst löschen, bereits verfügbar sind.
Fahrzeughistorie muss plausibel sein
Abgenutzte Sitze, verschlissene Pedalgummis, abgegriffenes Lenkrad – und trotzdem ein niedriger Kilometerstand? Florian Hördegen vom ADAC-Technikzentrum würde sich nicht darauf verlassen, dass solche auffälligen Gegensätze auftreten und auf Manipulationen hinweisen. "Das ist nur eine Scheinsicherheit", sagt der Experte. "Die Autos werden nach der Tacho-Manipulation oft so professionell aufbereitet, dass ihr Zustand zur Laufleistung passt." Die meiste Sicherheit würde eine plausible Fahrzeughistorie geben. HU-Berichte und Einträge im Serviceheft müssen vollständig sein und zueinanderpassen.
In Belgien soll der Car-Pass Tacho-Betrügern das Handwerk erschweren. Wechselt ein Gebrauchtwagen den Besitzer, muss das Dokument mit dem Kilometerstand übergeben werden. Bei Werkstattaufenthalten wird die Laufleistung fortlaufend aktualisiert. Dem ADAC würde dieses oder ein ähnliches System in Deutschland nicht ausreichen. "Es besteht die Gefahr, dass bereits manipulierte Daten einfließen", so Hördegen. In der Tat haben belgische Ermittler schon 2017 festgestellt, dass drei Viertel der Werkstätten ihrer Pflicht zur Kilometer-Übermittlung nicht oder nur unzureichend nachgekommen sind. Der ADAC sieht jetzt die Autoindustrie am Zug, die Tachos endlich sicher zu machen.
So reagieren Opel, Hyundai und VW
Ein Opel-Sprecher verweist darauf, dass die aktuelle Strategie des Stellantis-Konzerns "zur Verhinderung von Manipulationen des Kilometerzählers alle gesetzlichen Anforderungen" erfülle. Und: Man werde die Wirkung von Maßnahmen "durch die Einbeziehung von Funktionsprüfungen mit Backend-Speichern verbessern". In Zukunft soll auch die "Integration von Mikrocontrollern mit Hardware Secure Modules" geprüft werden, um "unseren Schutz vor Manipulationen weiter zu stärken".
Auch VW erfüllt nach eigenen Angaben alle gesetzlichen Anforderungen. Ein Sprecher: "Bis zur Entwicklung des Angriffs über Voltage Glitching waren gegen Volkswagen-Systeme in den vergangenen Jahren keine Angriffe bekannt – im Gegensatz zur Situation bei vielen anderen Volumenherstellern weltweit." Es bestehe ein "regelmäßiges Monitoring, um Angriffe beziehungsweise verfügbare Tools zu identifizieren". Die Analyse der Angriffswerkzeuge fließe "seit Jahren regelmäßig in die Verbesserung unserer Systeme ein". Auch für Glitching-Angriffe werde dies zeitnah erfolgen, erklärte der VW-Sprecher weiter. Heute eingesetzte Halbleiter allerdings könnten "im Nachhinein nicht gegen einen solchen Hardware-Angriff geschützt werden". Zusammen mit Chip-Lieferanten arbeite VW jedoch "an einer Lösung für zukünftige Generationen".
Ein Sprecher von Hyundai verweist darauf, dass "alle Fahrzeuge die branchenweit geltenden Sicherheitsstandards erfüllen und kontinuierlich überprüft werden, um den Schutz, wo immer möglich, weiter zu verbessern". Wie genau der Schutz aussieht, verrät der Hersteller nicht. Die "technischen Details dieser Maßnahmen" seien vertraulich. © auto motor und sport
