Transcript of Freischaltung für SFD (Schutz der Fahrzeugdiagnose)
DE_SFD-Anleitung_für_UMBNutzung von SFD
Inhalt 1. Allgemeine Informationen zu SFD
........................................................................................
2
1.1 SFD in 2 Stufen
.............................................................................................................
2
1.2 Authentifizierung
............................................................................................................
2
1.3 Funktionsweise
..............................................................................................................
3
2. Nutzung von SFD mit Authentifizierung über das Händlerportal
.......................................... 4
2.1 Registrierung der Nutzer im Händlerportal
....................................................................
4
2.2 Online-Freischaltung von Steuergeräten mit ODIS Service
(empfohlen) ...................... 4
2.2.1 Online-Freischaltung mit Geführter Fehlersuche (empfohlen)
............................... 5
2.2.2 Online-Freischaltung in der Eigendiagnose
........................................................... 8
2.3 Manuelle Freischaltung (offline) von Steuergeräten mit ODIS
Service ....................... 10
3. Nutzung von SFD mit Authentifizierung über das Group Retail
Portal ............................... 15
3.1 Registrierung der Nutzer im Group Retail Portal
......................................................... 15
3.1.1 Registrierung im GRP
..........................................................................................
15
3.1.2 Beantragung des Arbeitskontextes
......................................................................
16
3.1.3 Rollenzuweisung durch Lokalen Administrator
.................................................... 16
3.1.4 Aktivierung der 2-Faktor-Authentifizierung
...........................................................
17
3.2 Online-Freischaltung von Steuergeräten mit ODIS Service
(empfohlen) .................... 18
3.3 Manuelle Freischaltung (offline) von Steuergeräten mit ODIS
Service ....................... 20
4. Steuergeräte sperren
..........................................................................................................
22
Nutzung von SFD
1. Allgemeine Informationen zu SFD Die Volkswagen AG hat im Jahr
2020 mit SFD (Schutz der Fahrzeugdiagnose) markenübergreifend ein
neues Verfahren zum Schutz des Steuergeräte-Zugriffs bei neuen
Fahrzeugmodellen eingeführt. Das bisherige Verfahren
(„Security-Access“ mittels 5-stelliger Login-Codes) entsprach nicht
mehr dem Stand der Technik und den gesetzlichen UNECE-
Anforderungen. Hintergrund und Funktionsweise von SFD sowie
Hinweise für die Registrierung und Anwendung erhalten Sie mit
dieser Information.
1.1 SFD in 2 Stufen Der SFD-Schutz wird in 2 Projekt-Stufen
eingeführt. Stufe 1 umfasst den Zugriffsschutz auf geschützte
Diagnoseobjekte in Steuergeräten und die Nachweisbarkeit dieser
Zugriffe auf Einzelpersonen-Ebene. Der Schutzbedarf wird für
bestimmte Steuergeräte festgelegt und beschränkt sich auf
spezifische Schreibdienste (Codierungen, Anpassungen,
Parametrierungen) sowie Routinen. Normale lesende Dienste (z.B. das
Auslesen der Steuergeräte-Fehlerspeicher) sind nicht SFD-geschützt.
Die Funktionen Datensatzdownload mit Bootloader-Datensätzen, das
Flashen bzw. die Updateprogrammierung sowie die
Flashdatensicherheit sind von SFD ebenfalls nicht betroffen.
Stufe 2 umfasst in Ergänzung zu Stufe 1 den Manipulationsschutz von
Diagnoseinhalten beim Einbringen der Diagnoseinhalte durch
Ende-zu-Ende-Absicherung der Diagnosedaten zwischen den
Herstellersystemen der Volkswagen AG und den Steuergeräten.
1.2 Authentifizierung Um die Zugriffe auf schützenswerte
Diagnoseinhalte protokollieren zu können, fordert die
IT-Sicherheitsorganisation, dass sich Anwender mittels einer
2-Faktor-Authentifizierung identifizieren müssen, wie sie
beispielsweise bei der Verwendung von folgenden Methoden realisiert
wird:
PKI-Karten
SecurID-Karten
Applikationen, welche Einmalpasswörter generieren (TOTP-Verfahren:
Time-based One Time Password), z.B. Google-Authenticator,
Microsoft-Authenticator
Die 2-Faktor-Authentifizierung wird durch das Group Retail Portal
(GRP) unterstützt, welches im Laufe des Jahres 2022 eingeführt
wird. Bis zur Nutzung des GRP wird übergangsweise das Händlerportal
zur Authentifizierung der Anwender für die SFD- Nutzung verwendet.
Zu welchem Zeitpunkt der Umstieg vom Händlerportal auf das Group
Retail Portal (GRP) in Ihrem Markt erfolgt, erfahren Sie von Ihrem
zuständigen Importeur.
- 3 -
Nutzung von SFD
Wenn der Anwender im Rahmen einer Fahrzeugdiagnose an einem oder
mehreren SFD- geschützten Steuergeräten SFD-geschützte Dienste
ausführen will, meldet das Steuergerät, dass es SFD-geschützt ist
und fordert einen Freischalt-Token. Der Diagnosetester sendet eine
Freischalt-Anfrage mit dem ID-Merkmal des Steuergeräts und dem
gewünschten Umfang an die Herstellersysteme der Volkswagen AG. Dort
wird die Anfrage geprüft und autorisiert und es wird ein signierter
Freischalt-Token an den ODIS-Diagnosetester gesendet. Weiterhin
wird der Zugriff auf Volkswagen-Seite protokolliert (Nutzer-ID,
VIN, Steuergeräte-ID-Merkmal, Zeitpunkt etc.). Der Diagnosetester
sendet dann den Freischalt-Token an das Steuergerät. Das
Steuergerät überprüft den Freischalt-Token und gewährt Zugriff auf
die entsprechenden Diagnoseobjekte. Die Freischaltung von
SFD-geschützten Steuergeräten erfordert im Regelfall eine Online-
Anbindung des ODIS-Diagnosetesters. Für den Fall, dass die
Online-Verbindung des Diagnosetesters in der Werkstatt
vorübergehend nicht zur Verfügung steht, ist ersatzweise auch eine
Offline-Freischaltung der Steuergeräte möglich.
- 4 -
Nutzung von SFD
2.1 Registrierung der Nutzer im Händlerportal Bevor SFD von den
Anwendern genutzt werden kann, muss diesen vom Lokalen
Administrator im Händlerportal in der „Lokalen Benutzerverwaltung“
die Standard-Rolle in der Applikation „SFD“ zugewiesen werden.
Danach erfolgt in regelmäßigen Abständen eine Synchronisation der
SFD-Berechtigung mit den Herstellersystemen der Volkswagen AG,
sodass die Anwender spätestens am nächsten Tag SFD-Freischaltungen
durchführen können.
2.2 Online-Freischaltung von Steuergeräten mit ODIS Service
(empfohlen)
Es wird empfohlen, immer die Online-Freischaltung zu nutzen, da
diese wesentlich einfacher und schneller abläuft. Für den Fall,
dass die Online-Verbindung des Diagnosetesters in der Werkstatt
vorübergehend nicht zur Verfügung steht, ist ersatzweise auch eine
Offline-Freischaltung der Steuergeräte möglich (siehe Kapitel
2.3).
- 5 -
Nutzung von SFD
Nach dieser Anmeldung werden alle erforderlichen
SFD-Freischalt-Token für Arbeiten an den Steuergeräten automatisch
im Hintergrund abgerufen.
- 6 -
Nutzung von SFD
Nach der Fahrzeugidentifikation und dem Auslesen der
Ereignisspeicher wählen Sie eine SFD-geschützte Funktion (im
Beispiel die Online-Codierung) an einem SFD-geschützten Steuergerät
(im Beispiel 15 - Airbag) aus:
Anschließend müssen Sie sich – wie bisher auch – für das
Online-Codieren (Service 42 / SVM) noch einmal anmelden:
- 7 -
Nutzung von SFD
Beim Arbeiten mit der Geführten Fehlersuche werden SFD-geschützte
Steuergeräte nach dem Ende der Diagnosesitzung automatisch wieder
verschlossen.
- 8 -
Nutzung von SFD
2.2.2 Online-Freischaltung in der Eigendiagnose Bei einem
Diagnoseeinstieg über die „Eigendiagnose“ können Sie nach der
Auswahl eines Steuergeräts mit der Funktion „Messwerte anzeigen“
(Messwert [MAS 18157]_SFD- Freischaltzustand) feststellen, ob das
Steuergerät SFD-geschützt ist. Um es freizuschalten, wählen Sie den
Punkt „Zugriffsberechtigung“ aus:
Dann wählen Sie den Anwendungsfall „Online-Freischaltung“
aus:
- 9 -
Nutzung von SFD
Der Freischaltstatus zeigt die freigeschaltete Rolle und die
restliche Freischaltdauer an:
- 10 -
Nutzung von SFD
Die manuelle Freischaltung sollte nur für den Fall genutzt werden,
dass die Online- Verbindung des Diagnosetesters in der Werkstatt
vorübergehend nicht zur Verfügung steht. Die Offline-Freischaltung
ist nur in der Betriebsart „Eigendiagnose“ möglich, da die Geführte
Fehlersuche eine Anmeldung an den VW-Herstellersystemen (und damit
eine Online- Anbindung) voraussetzt. Sollte es keine
Online-Verbindung vom Diagnosetester zum Werkstattnetz geben,
wählen Sie nach der Auswahl „Zugriffsberechtigung“ die „Manuelle
SFD-Freischaltung“ aus:
- 11 -
Nutzung von SFD
Wenn noch kein Freischalt-Token generiert wurde, beantworten Sie
die folgende Frage mit „Nein“:
Die vom Steuergerät erzeugte Freischalt-Anfragestruktur wird
benötigt, damit im Herstellersystem der Volkswagen AG ein
Freischalt-Token erzeugt werden kann. Die Struktur können Sie nun
entweder in die Zwischenablage kopieren oder in einer Datei
speichern:
- 12 -
Nutzung von SFD
Anschließend rufen Sie im Händlerportal die Applikation „SFD“
auf:
Daraufhin gelangen Sie auf die SFD Webseite. Dort geben Sie die
zuvor ermittelte Freischalt- Anfragestruktur sowie die
Fahrgestellnummer (VIN) ein und wählen die Marke aus:
- 13 -
Nutzung von SFD
Durch Klick auf „Token anfordern“ wird der erforderliche
Freischalt-Token erzeugt, den Sie anschließend in die
Zwischenablage kopieren oder in eine Datei herunterladen
können:
Zurück in ODIS Service mit Besitz des erforderlichen
Freischalt-Tokens, bestätigen Sie die folgende Frage mit
„Ja“:
- 14 -
Nutzung von SFD
Anschließend fügen Sie den Freischalt-Token ein – entweder über die
Zwischenanlage oder per Datei:
Bitte beachten Sie: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- 15 -
Nutzung von SFD
3. Nutzung von SFD mit Authentifizierung über das Group Retail
Portal
3.1 Registrierung der Nutzer im Group Retail Portal Bevor SFD über
das Group Retail Portal (GRP) genutzt werden kann, muss der Nutzer
dort registriert werden. Die vollständige Registrierung (inkl.
Arbeitskontext, Rollenzuweisung und Freischaltung der
2-Faktor-Authentifizierung) wird in den Kapiteln 3.1.1 bis 3.1.4
beschrieben. Eine detaillierte Beschreibung der nachfolgenden
Schritte finden Sie auch im GRP Trainingsguide und in den
Benutzervideos des GRP. GRP Trainingsguide:
https://grp.global.volkswagenag.com/web/public/content/display/helpguide
GRP Benutzervideos:
https://grp.global.volkswagenag.com/web/public/content/display/helpvideos
3.1.1 Registrierung im GRP 1. Rufen Sie das Group Retail Portal
(https://grp.volkswagenag.com) auf.
(Anmerkung: Alternativ erreichen Sie das Group Retail Portal auch
über das CPN: https://grp.cpn.vwg)
2. Klicken Sie auf „Neuen Nutzer registrieren“.
3. Füllen Sie die erforderlichen Felder aus und klicken Sie auf
„Registrierung“.
Nutzung von SFD
4. Sie erhalten eine Bestätigung per E-Mail. Klicken Sie auf den
Link in der E-Mail, um die
Registrierung abzuschließen.
5. Loggen Sie sich im GRP ein und akzeptieren Sie die
Cookie-Richtlinie sowie die
Nutzungsbedingungen.
3.1.2 Beantragung des Arbeitskontextes 1. Lassen Sie sich von dem
Lokalen Administrator Ihres Autohauses die Daten zu Ihrem
Arbeitskontext geben.
2. Beantragen Sie einen Arbeitskontext, indem Sie nach dem
Service-Partner suchen, für
den Sie tätig sind:
Partnernummer: Organisationsschlüssel des Service-Partners
Marke: Marke des Service-Partners
Wenn alle Angaben korrekt sind, wird der entsprechende
Service-Partner angezeigt und
Sie können Ihre Anfrage absenden.
3. Dieser Beantragungsprozess kann bei Bedarf mit weiteren
Arbeitskontexten wiederholt
werden.
3.1.3 Rollenzuweisung durch Lokalen Administrator 1. Als nächstes
muss der Lokale Administrator des Service-Partners Ihren Antrag
des
Arbeitskontextes bestätigen.
2. Der Lokale Administrator muss Ihnen nun mindestens eine der
folgenden Rollen
zuweisen, damit Sie SFD nutzen können:
- Mechaniker
- Servicetechniker
- Werkstattleiter (Hintergrund: Im GRP werden im Gegensatz zum
Händlerportal den Nutzern keine Applikationen direkt
zugewiesen, sondern lediglich Rollen. Wenn man eine bestimmte
Applikation nutzen will, muss man eine Rolle
innehaben, der die gewünschte Applikation zugeordnet ist.)
Gleichzeitig muss mit Zuweisung der Rolle(n) eine Global User ID
(GUID) beantragt
werden, damit man TOTP (und damit SFD) nutzen kann.
- 17 -
Nutzung von SFD
Alternative 2-Faktor-Authentifizierungsverfahren wie PKI-Karte und
SecurID werden im GRP Trainingsguide
beschrieben:
https://grp.global.volkswagenag.com/web/public/content/display/helpguide
Sie initiieren.
2. Sie erhalten anschließend eine E-Mail mit der Anleitung zur
Aktivierung von TOTP. Bitte
führen Sie die Schritte der Reihe nach aus:
a) Rufen Sie den folgenden Link auf:
https://grp.volkswagenag.com/public/startotp.html
b) Melden Sie sich mit Ihren Zugangsdaten im GRP an.
c) Nach dem Login erscheint ein Feld zur Eingabe eines
Einmal-Kennworts. Dieses
erhalten Sie in einer separaten E-Mail.
d) Nach Eingabe des Einmal-Kennworts erscheint ein QR-Code. Lassen
Sie diese
Seite geöffnet.
https://grp.volkswagenag.com/isam/sps/static/grp/resources/GRPAuth/GRPAuth.
exe herunter. (Alternativ können Sie auch andere
Authenticator-Tools verwenden z.B. Google-Authenticator oder
Microsoft-Authenticator. Nachfolgende Schritte erläutern wir am
Beispiel des GRP-Authenticators.)
f) Nach dem Starten des GRP-Authenticators muss zunächst ein
Master-Passwort
festgelegt werden. Danach lassen sich verschiedene
Benutzer-Accounts
konfigurieren, sodass der GRP-Authenticator auch von mehreren
Anwendern am
gleichen Diagnosetester genutzt werden kann.
Nutzung von SFD
g) Klicken Sie auf „Hinzufügen“, um ein neues Benutzerkonto zum
GRP-
Authenticator hinzuzufügen. Tragen Sie ihren Namen sowie den
Sicherheitscode
ein und legen Sie ein Passwort fest. Der Sicherheitscode ist der
12-stellige
alphanumerische Code unter dem QR-Code auf der GRP-Webseite. Damit
ist das
Nutzerprofil im GRP-Authenticator erstellt.
h) Klicken Sie im GRP auf „Weiter“. Zur Verifizierung wird nun ein
Einmal-Kennwort
aus dem GRP-Authenticator benötigt.
i) Klicken Sie auf das vom Pfeil umkreiste Schlosssymbol. Nach
Eingabe des
Benutzerkennwortes wird ein Einmal-Kennwort generiert, welches 30
Sekunden
lang gültig ist.
j) Geben Sie das Einmal-Kennwort auf der GRP-Webseite ein und
klicken Sie auf
„Bestätigen“, um die TOTP-Einrichtung abzuschließen. (Um das
Einmal-Kennwort nicht manuell eingeben zu müssen, können Sie auch
mit der rechten
Maustaste auf das Einmal-Kennwort klicken und im Kontextmenü
„Kopieren des Codes“
auswählen.)
Es wird empfohlen, immer die Online-Freischaltung zu nutzen, da
diese wesentlich einfacher und schneller abläuft. Für den Fall,
dass die Online-Verbindung des Diagnosetesters in der Werkstatt
vorübergehend nicht zur Verfügung steht, ist ersatzweise auch eine
Offline-Freischaltung der Steuergeräte möglich (siehe Kapitel
3.3).
Die SFD-Freischaltung in ODIS Service (über Eigendiagnose bzw.
Geführte Fehlersuche) funktioniert bei einer Authentifizierung über
das Group Retail Portal grundsätzlich genauso wie bei einer
Authentifizierung über das Händlerportal. Der grundlegende Ablauf
der Online- Freischaltung von Steuergeräten mit ODIS Service ist in
Kapitel 2.2 beschrieben. Der einzige Unterschied ist, dass anstatt
der Anmeldung am Händlerportal eine 2-Faktor-Authentifizierung am
Group Retail Portal erfolgt. Wenn Sie dazu aufgefordert werden,
gehen Sie wie nachfolgend beschrieben vor.
- 19 -
Nutzung von SFD
Klicken Sie auf „TOTP Login“:
- 20 -
Nutzung von SFD
Generieren Sie ein Einmal-Kennwort mit dem GRP-Authenticator (wie
in Kapitel 3.1.4, Schritt
2 i) beschrieben). Geben Sie das Einmal-Kennwort ein und klicken
Sie auf „Bestätigen“:
Im Anschluss erfolgt der Abruf des Freischalt-Tokens genauso wie
bei der Authentifizierung
über das Händlerportal (siehe Kapitel 2.2).
3.3 Manuelle Freischaltung (offline) von Steuergeräten mit ODIS
Service
Die manuelle Freischaltung sollte nur für den Fall genutzt werden,
dass die Online- Verbindung des Diagnosetesters in der Werkstatt
vorübergehend nicht zur Verfügung steht. Die Offline-Freischaltung
ist nur in der Betriebsart „Eigendiagnose“ möglich, da die Geführte
Fehlersuche eine Anmeldung an den VW-Herstellersystemen (und damit
eine Online- Anbindung) voraussetzt. Die manuelle SFD-Freischaltung
in ODIS Service funktioniert bei einer Authentifizierung über das
Group Retail Portal grundsätzlich genauso wie bei einer
Authentifizierung über das Händlerportal. Der grundlegende Ablauf
der manuellen (offline) Freischaltung von Steuergeräten mit ODIS
Service ist in Kapitel 2.3 beschrieben. Der einzige Unterschied
ist, dass die Applikation „SFD“ anstatt über das Händlerportal nun
über das Group Retail Portal aufgerufen wird:
- 21 -
Nutzung von SFD
1. Rufen Sie das GRP unter https://grp.volkswagenag.com auf und
melden Sie sich mit Ihren
Zugangsdaten an.
2. Klicken Sie auf die Kachel „SFD“:
3. Klicken Sie auf „TOTP Login“. Generieren Sie ein Einmal-Kennwort
mit dem GRP-
Authenticator (wie in Kapitel 3.1.4, Schritt 2 i) beschrieben).
Geben Sie das Einmal-
Kennwort ein und klicken Sie auf „Bestätigen“.
4. Als Nächstes werden Sie auf die SFD-Oberfläche
weitergeleitet.
5. Gegebenenfalls müssen Sie die SFD-Nutzungsbedingungen noch
akzeptieren.
6. Die Eingabe der Freischalt-Anfragestruktur und der Abruf des
Freischalt-Tokens
funktioniert nun genauso wie bisher beim Aufruf der SFD-Oberfläche
über das
Nutzung von SFD
4. Steuergeräte sperren Die Sperrung von Steuergeräten erfolgt
immer gleich, unabhängig davon ob bei der Freischaltung die
Authentifizierung über das Händlerportal oder das Group Retail
Portal erfolgt ist. Beim Arbeiten mit der Geführten Fehlersuche
werden SFD-geschützte Steuergeräte nach dem Ende der
Diagnosesitzung automatisch wieder verschlossen. Ansonsten werden
sie 90 min. nach der Freischaltung ebenfalls automatisch wieder
verschlossen.
Jedes Steuergerät kann allerdings auch manuell wieder verschlossen
werden, indem Sie bei einem geöffneten Steuergerät den Button „SG
sperren“ drücken:
- 23 -
Nutzung von SFD
Die entsprechende Rückfrage beantworten Sie mit „Ja“:
Der Freischaltstatus zeigt nun an, dass das Steuergerät
verschlossen ist. Sie können es dann erneut freischalten:
- 24 -
Nutzung von SFD
Alternativ können auch alle Steuergeräte auf einmal verschlossen
werden, indem Sie „Fahrzeug sperren“ auswählen:
Anschließend bestätigen Sie das Sperren des Fahrzeugs mit Klick auf
„Ja“:
- 25 -
Nutzung von SFD