Gateway Pass Thru: Zugriff auf geschützte Steuergeräte

Die zunehmende Vernetzung moderner Nutzfahrzeuge hat eine Konsequenz, die unabhängige Werkstätten direkt betrifft. Denn immer mehr Steuergeräte sind durch ein sogenanntes Security Gateway (SGW) geschützt. Dieses Gateway verhindert den unkontrollierten Zugriff auf sicherheitsrelevante Systeme, etwa Motorsteuerung, Bremssteuerung oder Wegfahrsperre. Für die Werkstatt bedeutet das: Ohne authentifizierte Freischaltung gibt es keinen Schreibzugriff, keine Kalibrierung und kein Software-Update. Den rechtlichen Rahmen für den Zugang zu herstellerspezifischen Reparatur- und Wartungsinformationen setzt dabei die RMI-Verordnung (EU 2018/858). Zudem müssen Gateway Pass Thru-Lösungen die elektromagnetische Verträglichkeit gemäß ECE R10 (EMV von Fahrzeugen) sicherstellen, um Rückwirkungen auf den Fahrzeugbus zu vermeiden. Informationen zum OE-Zugang über herstellerspezifische Portale finden sich außerdem im Beitrag OEM-Systemzugriff – beide Wege koexistieren.

Die Gateway Pass Thru-Technologie bietet hier einen ergänzenden Weg. Sie ermöglicht den authentifizierten Zugriff auf die hinter dem Security Gateway liegenden Steuergeräte sitzungsbasiert – über das bestehende Mehrmarken-Diagnosesystem und eine Internetverbindung zum OEM-Backend. Besonders relevant wird das Thema dabei beim E-Lkw-Service, wo nahezu jedes Steuergerät hinter Sicherheitsgateways liegt. Dieser Artikel erklärt daher die Technologie, die Unterstützung durch die Hersteller, die Rolle von SERMI und die praktische Umsetzung in der Werkstatt – gleichermaßen relevant für freie Mehrmarkenwerkstätten und für OE-Werkstätten, die ihr Markenspektrum erweitern. Akkreditierte Prüforganisationen dokumentieren die Auswirkungen zudem in ihren aktuellen Branchenreports.

Gateway Pass Thru bezeichnet ein sitzungsbasiertes Verfahren. Es öffnet über ein Mehrmarken-VCI und eine authentifizierte Verbindung zum jeweiligen OEM-Backend den Zugriff auf Steuergeräte hinter dem internen Fahrzeug-Gateway. Dabei adressiert es die Sicherheitsschicht, die seit rund 2017 bei vielen Herstellern geschützte Steuergeräte absichert.

Das Grundprinzip ist vergleichsweise einfach: Das Security Gateway im Fahrzeug schützt den Zugriff auf sicherheitsrelevante Steuergeräte. Um den Zugriff im Sinne des RMI-Rahmens freizuschalten, authentifiziert sich die Werkstatt zunächst gegenüber dem OEM-Server – der vom Hersteller dafür vorgesehene Weg. Die Pass Thru-Technologie nutzt dabei das vorhandene Mehrmarken-VCI (Vehicle Communication Interface) als „Durchreiche“ – daher der Name. Das VCI verbindet sich einerseits mit dem Fahrzeug (über OBD) und andererseits über das Internet mit dem OEM-Backend. Anschließend erkennt der OEM-Server die authentifizierte Werkstatt und sendet ein Freischalt-Token an das Security Gateway, das daraufhin den Zugriff für die Dauer der Sitzung freigibt. Wer tiefer einsteigen möchte, findet zudem im Beitrag zu moderne Lkw-Diagnose weiterführende Hinweise.

Die Pass Thru-Unterstützung ist bei großen Nutzfahrzeugherstellern verbreitet. Funktionsumfang und technische Implementierung unterscheiden sich jedoch je nach Hersteller. Ein Teil der Hersteller bindet den Zugang an die standardisierte Schnittstelle SAE J2534, andere nutzen dagegen herstellerspezifische Protokolle in Verbindung mit eigenem Portal und definierter VCI-Hardware. Welche technische Schnittstelle ein konkretes Fahrzeug erfordert, klärt sich daher im Einzelfall über das jeweilige Hersteller-Portal.

Sitzungsbasiertes Pass Thru und herstellerspezifische OE-Zugänge sind unterschiedliche Werkzeuge mit unterschiedlichen Einsatzszenarien. Welcher Weg im Einzelfall passt, hängt dabei von Volumen, Marken-Mix und Auftragstiefe ab. In der Mehrmarkenwerkstatt koexistieren folglich beide Wege typischerweise nebeneinander.

Für den Zugang zu sicherheitsrelevanten Steuergeräten – Wegfahrsperre, Diebstahlsicherung, Schlüsselprogrammierung – ist die SERMI-Zertifizierung (Security-Related Repair and Maintenance Information) seit 2023 europaweit verpflichtend. Ohne SERMI-Zertifizierung erhalten Sie daher über Pass Thru keinen Zugang zu diesen Systemen – unabhängig davon, ob Sie registriert und zahlungsbereit sind.

• Antragstellung: Sie beantragen die Zertifizierung bei einer national akkreditierten Konformitätsbewertungsstelle (Conformity Assessment Body, CAB). Benötigte Nachweise – Gewerberegistrierung, Handelsregisterauszug, Identitätsnachweis des Antragstellers, Leumundsnachweis – richten sich nach der jeweiligen nationalen Umsetzung; die anerkannten CABs sind zudem über die zentrale SERMI-Plattform abrufbar.
• Identitätsprüfung: Persönliche Identifizierung des Antragstellers durch die akkreditierte Stelle. In der Regel erfolgt dies vor Ort oder per Video-Ident.
• Zuverlässigkeitsüberprüfung: Prüfung des Leumundsnachweises und ergänzender Unterlagen gemäß nationaler Vorschriften. Dabei darf der Antragsteller keine relevanten Vorstrafen aufweisen.
• Zertifikatausstellung: Bei positivem Ergebnis wird anschließend ein digitales Zertifikat ausgestellt, das in die OEM-Portale und Pass Thru-Systeme integriert wird. Gültigkeitsdauer: drei Jahre.

Um Gateway Pass Thru in Ihrer Werkstatt nutzen zu können, müssen Sie folgende Voraussetzungen erfüllen:

• Mehrmarken-Diagnosesystem: Ein aktuelles System mit Pass Thru-Unterstützung. In der Alltrucks-Systematik kommt dafür die Alltrucks Mehrmarkendiagnose / Alltrucks KTS Truck V3 (Bosch + Knorr-Bremse-Integration) zum Einsatz – siehe dazu auch den Beitrag zu Bosch ESI[tronic].
• Kompatibles VCI: Das Vehicle Communication Interface muss die Pass Thru-Funktion hardware- und softwareseitig unterstützen.
• Hersteller-Portal-Registrierung: Für jeden relevanten Hersteller ist zudem eine Registrierung mit Benutzerkonto und hinterlegtem Zahlungsmittel erforderlich (einmalig, Registrierung selbst in der Regel kostenfrei).
• PIN-Autorisierungen bei Trailer-Systemen: Für bestimmte Trailer-Funktionen kommen herstellerseitige PIN-Berechtigungen zum Tragen – konkret Bosch PIN 2 (Trailer) und Knorr-Bremse PIN TEBS 4, für Alltrucks-Partner über die Alltrucks-Struktur zugänglich. Zudem ist für die Trailer-Konfiguration bei Knorr-Bremse-Systemen das OCT (Online Communication Tool) relevant.
• SERMI-Zertifizierung: Für den Zugang zu sicherheitsrelevanten Systemen ist die SERMI-Zertifizierung Pflicht.
• Stabile Internetverbindung: Mindestens 50 Mbit/s, idealerweise kabelgebunden. Für Software-Updates sollte die Verbindung zudem unterbrechungsfrei sein.
• Geschultes Personal: Mitarbeiter müssen die Pass Thru-Funktion und die jeweiligen Hersteller-Protokolle kennen. Denn Fehlbedienungen können Steuergeräte beschädigen.

Sitzungsbasiertes Pass Thru und herstellerspezifische OE-Zugänge adressieren unterschiedliche Einsatzszenarien. Der sitzungsbasierte Weg ist insbesondere sinnvoll, wenn der Zugriff auf geschützte Steuergeräte einer bestimmten Marke eher punktuell anfällt. Ein dedizierter OE-Zugang eignet sich dagegen eher für hohe Auftragsvolumina mit tiefem Funktionsbedarf bei einer einzelnen Marke. In der Praxis kombinieren daher viele Mehrmarkenwerkstätten beide Wege; die Auswahl folgt dem Marken-Mix des Betriebs. Wer tiefer in die Auftrags-Wirtschaftlichkeit einsteigen möchte, findet zudem im Beitrag zu Deckungsbeitrag pro Auftrag weiterführende Hinweise.

Mehr zum direkten OE-Zugang über Hersteller-Portale steht außerdem im Beitrag OEM-Systemzugriff. Die Wahl zwischen sitzungsbasierter Abrechnung und kontinuierlichem Zugang hängt dabei vom konkreten Fahrzeugspektrum und Auftragsprofil ab.

Ergänzend lohnt der Blick darauf, welche Diagnosen ein aktuelles Mehrmarken-Diagnosesystem bereits ohne Pass Thru abdeckt. In der Praxis lässt sich nämlich ein großer Teil der Werkstattaufgaben ohne Pass Thru bearbeiten; für die Aufgaben hinter dem Security Gateway ergänzt das sitzungsbasierte Modell daher das Diagnose-Setup.