Freischaltung für SFD (Schutz der Fahrzeugdiagnose)
25
- 1 - Offboard Diagnostic Information System Service Nutzung von SFD SFD-Freischaltung von Steuergeräten in ODIS Service Inhalt 1. Allgemeine Informationen zu SFD ........................................................................................ 2 1.1 SFD in 2 Stufen ............................................................................................................. 2 1.2 Authentifizierung ............................................................................................................ 2 1.3 Funktionsweise .............................................................................................................. 3 2. Nutzung von SFD mit Authentifizierung über das Händlerportal .......................................... 4 2.1 Registrierung der Nutzer im Händlerportal .................................................................... 4 2.2 Online-Freischaltung von Steuergeräten mit ODIS Service (empfohlen) ...................... 4 2.2.1 Online-Freischaltung mit Geführter Fehlersuche (empfohlen) ............................... 5 2.2.2 Online-Freischaltung in der Eigendiagnose ........................................................... 8 2.3 Manuelle Freischaltung (offline) von Steuergeräten mit ODIS Service ....................... 10 3. Nutzung von SFD mit Authentifizierung über das Group Retail Portal ............................... 15 3.1 Registrierung der Nutzer im Group Retail Portal ......................................................... 15 3.1.1 Registrierung im GRP .......................................................................................... 15 3.1.2 Beantragung des Arbeitskontextes ...................................................................... 16 3.1.3 Rollenzuweisung durch Lokalen Administrator .................................................... 16 3.1.4 Aktivierung der 2-Faktor-Authentifizierung ........................................................... 17 3.2 Online-Freischaltung von Steuergeräten mit ODIS Service (empfohlen) .................... 18 3.3 Manuelle Freischaltung (offline) von Steuergeräten mit ODIS Service ....................... 20 4. Steuergeräte sperren .......................................................................................................... 22
Transcript of Freischaltung für SFD (Schutz der Fahrzeugdiagnose)
DE_SFD-Anleitung_für_UMBNutzung von SFD
Inhalt 1. Allgemeine Informationen zu SFD ........................................................................................ 2
1.1 SFD in 2 Stufen ............................................................................................................. 2
1.2 Authentifizierung ............................................................................................................ 2
1.3 Funktionsweise .............................................................................................................. 3
2. Nutzung von SFD mit Authentifizierung über das Händlerportal .......................................... 4
2.1 Registrierung der Nutzer im Händlerportal .................................................................... 4
2.2 Online-Freischaltung von Steuergeräten mit ODIS Service (empfohlen) ...................... 4
2.2.1 Online-Freischaltung mit Geführter Fehlersuche (empfohlen) ............................... 5
2.2.2 Online-Freischaltung in der Eigendiagnose ........................................................... 8
2.3 Manuelle Freischaltung (offline) von Steuergeräten mit ODIS Service ....................... 10
3. Nutzung von SFD mit Authentifizierung über das Group Retail Portal ............................... 15
3.1 Registrierung der Nutzer im Group Retail Portal ......................................................... 15
3.1.1 Registrierung im GRP .......................................................................................... 15
3.1.2 Beantragung des Arbeitskontextes ...................................................................... 16
3.1.3 Rollenzuweisung durch Lokalen Administrator .................................................... 16
3.1.4 Aktivierung der 2-Faktor-Authentifizierung ........................................................... 17
3.2 Online-Freischaltung von Steuergeräten mit ODIS Service (empfohlen) .................... 18
3.3 Manuelle Freischaltung (offline) von Steuergeräten mit ODIS Service ....................... 20
4. Steuergeräte sperren .......................................................................................................... 22
Nutzung von SFD
1. Allgemeine Informationen zu SFD Die Volkswagen AG hat im Jahr 2020 mit SFD (Schutz der Fahrzeugdiagnose) markenübergreifend ein neues Verfahren zum Schutz des Steuergeräte-Zugriffs bei neuen Fahrzeugmodellen eingeführt. Das bisherige Verfahren („Security-Access“ mittels 5-stelliger Login-Codes) entsprach nicht mehr dem Stand der Technik und den gesetzlichen UNECE- Anforderungen. Hintergrund und Funktionsweise von SFD sowie Hinweise für die Registrierung und Anwendung erhalten Sie mit dieser Information.
1.1 SFD in 2 Stufen Der SFD-Schutz wird in 2 Projekt-Stufen eingeführt. Stufe 1 umfasst den Zugriffsschutz auf geschützte Diagnoseobjekte in Steuergeräten und die Nachweisbarkeit dieser Zugriffe auf Einzelpersonen-Ebene. Der Schutzbedarf wird für bestimmte Steuergeräte festgelegt und beschränkt sich auf spezifische Schreibdienste (Codierungen, Anpassungen, Parametrierungen) sowie Routinen. Normale lesende Dienste (z.B. das Auslesen der Steuergeräte-Fehlerspeicher) sind nicht SFD-geschützt. Die Funktionen Datensatzdownload mit Bootloader-Datensätzen, das Flashen bzw. die Updateprogrammierung sowie die Flashdatensicherheit sind von SFD ebenfalls nicht betroffen.
Stufe 2 umfasst in Ergänzung zu Stufe 1 den Manipulationsschutz von Diagnoseinhalten beim Einbringen der Diagnoseinhalte durch Ende-zu-Ende-Absicherung der Diagnosedaten zwischen den Herstellersystemen der Volkswagen AG und den Steuergeräten.
1.2 Authentifizierung Um die Zugriffe auf schützenswerte Diagnoseinhalte protokollieren zu können, fordert die IT-Sicherheitsorganisation, dass sich Anwender mittels einer 2-Faktor-Authentifizierung identifizieren müssen, wie sie beispielsweise bei der Verwendung von folgenden Methoden realisiert wird:
PKI-Karten
SecurID-Karten
Applikationen, welche Einmalpasswörter generieren (TOTP-Verfahren: Time-based One Time Password), z.B. Google-Authenticator, Microsoft-Authenticator
Die 2-Faktor-Authentifizierung wird durch das Group Retail Portal (GRP) unterstützt, welches im Laufe des Jahres 2022 eingeführt wird. Bis zur Nutzung des GRP wird übergangsweise das Händlerportal zur Authentifizierung der Anwender für die SFD- Nutzung verwendet. Zu welchem Zeitpunkt der Umstieg vom Händlerportal auf das Group Retail Portal (GRP) in Ihrem Markt erfolgt, erfahren Sie von Ihrem zuständigen Importeur.
- 3 -
Nutzung von SFD
Wenn der Anwender im Rahmen einer Fahrzeugdiagnose an einem oder mehreren SFD- geschützten Steuergeräten SFD-geschützte Dienste ausführen will, meldet das Steuergerät, dass es SFD-geschützt ist und fordert einen Freischalt-Token. Der Diagnosetester sendet eine Freischalt-Anfrage mit dem ID-Merkmal des Steuergeräts und dem gewünschten Umfang an die Herstellersysteme der Volkswagen AG. Dort wird die Anfrage geprüft und autorisiert und es wird ein signierter Freischalt-Token an den ODIS-Diagnosetester gesendet. Weiterhin wird der Zugriff auf Volkswagen-Seite protokolliert (Nutzer-ID, VIN, Steuergeräte-ID-Merkmal, Zeitpunkt etc.). Der Diagnosetester sendet dann den Freischalt-Token an das Steuergerät. Das Steuergerät überprüft den Freischalt-Token und gewährt Zugriff auf die entsprechenden Diagnoseobjekte. Die Freischaltung von SFD-geschützten Steuergeräten erfordert im Regelfall eine Online- Anbindung des ODIS-Diagnosetesters. Für den Fall, dass die Online-Verbindung des Diagnosetesters in der Werkstatt vorübergehend nicht zur Verfügung steht, ist ersatzweise auch eine Offline-Freischaltung der Steuergeräte möglich.
- 4 -
Nutzung von SFD
2.1 Registrierung der Nutzer im Händlerportal Bevor SFD von den Anwendern genutzt werden kann, muss diesen vom Lokalen Administrator im Händlerportal in der „Lokalen Benutzerverwaltung“ die Standard-Rolle in der Applikation „SFD“ zugewiesen werden. Danach erfolgt in regelmäßigen Abständen eine Synchronisation der SFD-Berechtigung mit den Herstellersystemen der Volkswagen AG, sodass die Anwender spätestens am nächsten Tag SFD-Freischaltungen durchführen können.
2.2 Online-Freischaltung von Steuergeräten mit ODIS Service (empfohlen)
Es wird empfohlen, immer die Online-Freischaltung zu nutzen, da diese wesentlich einfacher und schneller abläuft. Für den Fall, dass die Online-Verbindung des Diagnosetesters in der Werkstatt vorübergehend nicht zur Verfügung steht, ist ersatzweise auch eine Offline-Freischaltung der Steuergeräte möglich (siehe Kapitel 2.3).
- 5 -
Nutzung von SFD
Nach dieser Anmeldung werden alle erforderlichen SFD-Freischalt-Token für Arbeiten an den Steuergeräten automatisch im Hintergrund abgerufen.
- 6 -
Nutzung von SFD
Nach der Fahrzeugidentifikation und dem Auslesen der Ereignisspeicher wählen Sie eine SFD-geschützte Funktion (im Beispiel die Online-Codierung) an einem SFD-geschützten Steuergerät (im Beispiel 15 - Airbag) aus:
Anschließend müssen Sie sich – wie bisher auch – für das Online-Codieren (Service 42 / SVM) noch einmal anmelden:
- 7 -
Nutzung von SFD
Beim Arbeiten mit der Geführten Fehlersuche werden SFD-geschützte Steuergeräte nach dem Ende der Diagnosesitzung automatisch wieder verschlossen.
- 8 -
Nutzung von SFD
2.2.2 Online-Freischaltung in der Eigendiagnose Bei einem Diagnoseeinstieg über die „Eigendiagnose“ können Sie nach der Auswahl eines Steuergeräts mit der Funktion „Messwerte anzeigen“ (Messwert [MAS 18157]_SFD- Freischaltzustand) feststellen, ob das Steuergerät SFD-geschützt ist. Um es freizuschalten, wählen Sie den Punkt „Zugriffsberechtigung“ aus:
Dann wählen Sie den Anwendungsfall „Online-Freischaltung“ aus:
- 9 -
Nutzung von SFD
Der Freischaltstatus zeigt die freigeschaltete Rolle und die restliche Freischaltdauer an:
- 10 -
Nutzung von SFD
Die manuelle Freischaltung sollte nur für den Fall genutzt werden, dass die Online- Verbindung des Diagnosetesters in der Werkstatt vorübergehend nicht zur Verfügung steht. Die Offline-Freischaltung ist nur in der Betriebsart „Eigendiagnose“ möglich, da die Geführte Fehlersuche eine Anmeldung an den VW-Herstellersystemen (und damit eine Online- Anbindung) voraussetzt. Sollte es keine Online-Verbindung vom Diagnosetester zum Werkstattnetz geben, wählen Sie nach der Auswahl „Zugriffsberechtigung“ die „Manuelle SFD-Freischaltung“ aus:
- 11 -
Nutzung von SFD
Wenn noch kein Freischalt-Token generiert wurde, beantworten Sie die folgende Frage mit „Nein“:
Die vom Steuergerät erzeugte Freischalt-Anfragestruktur wird benötigt, damit im Herstellersystem der Volkswagen AG ein Freischalt-Token erzeugt werden kann. Die Struktur können Sie nun entweder in die Zwischenablage kopieren oder in einer Datei speichern:
- 12 -
Nutzung von SFD
Anschließend rufen Sie im Händlerportal die Applikation „SFD“ auf:
Daraufhin gelangen Sie auf die SFD Webseite. Dort geben Sie die zuvor ermittelte Freischalt- Anfragestruktur sowie die Fahrgestellnummer (VIN) ein und wählen die Marke aus:
- 13 -
Nutzung von SFD
Durch Klick auf „Token anfordern“ wird der erforderliche Freischalt-Token erzeugt, den Sie anschließend in die Zwischenablage kopieren oder in eine Datei herunterladen können:
Zurück in ODIS Service mit Besitz des erforderlichen Freischalt-Tokens, bestätigen Sie die folgende Frage mit „Ja“:
- 14 -
Nutzung von SFD
Anschließend fügen Sie den Freischalt-Token ein – entweder über die Zwischenanlage oder per Datei:
Bitte beachten Sie:
7f218201d17f4e495f290170420d4445555657475053460000000b7f4c33060d2b0601 0401990a8d110a01000153225453522d54535230362e30332e313931353733303032 360201010000016d8c2a93b95f378201801a93a8785a7f3f30d78bcb820912eba561b 4376f30ab6536abf3cf266c64b5da77b7be62df24646fa998620d758ad4b657450a79b 95c4fd1b27158ea54c97a77b060003e07c54a9c9fc15f5078013f521b692598ce8039a 8a7ebba1392ad7b37c1a6640c996df3fdb44f303fa4011520ffb1bad46242f10397f4dfc 67dd12cb7483d7bffc1252a934315e08656fb2cdc488ba1dd491860159d3000a9c935d dcd9936d579453717c01ef83ad2d18a82c3135313fad881001a94fc28a961a6c03a681 541698a6e60c9288105c8f33c743d7c6519da639caab623268ebaaaebb01d30a49e00 be7a7794a03e4024e16c6ae582f7e1b9285e95f4b0edcc119310bc7c3faeedf63a1f7a3 4c8fb2eb822925c1a8242f80388ff1df2576f894f8a37b6ac4c96e12f5a069d327585e29 1e5ef24d233d1c26ad4ca3500f59032d27240a06f0fa6f202ae4a584cede7e6f7c76fae b10f5b34e1c754a1105f36fb7d7364cd66eaa975506d76c53b684b50f20549ae8124b9 0365f247f61692b1d857488254cd
- 15 -
Nutzung von SFD
3. Nutzung von SFD mit Authentifizierung über das Group Retail Portal
3.1 Registrierung der Nutzer im Group Retail Portal Bevor SFD über das Group Retail Portal (GRP) genutzt werden kann, muss der Nutzer dort registriert werden. Die vollständige Registrierung (inkl. Arbeitskontext, Rollenzuweisung und Freischaltung der 2-Faktor-Authentifizierung) wird in den Kapiteln 3.1.1 bis 3.1.4 beschrieben. Eine detaillierte Beschreibung der nachfolgenden Schritte finden Sie auch im GRP Trainingsguide und in den Benutzervideos des GRP. GRP Trainingsguide: https://grp.global.volkswagenag.com/web/public/content/display/helpguide GRP Benutzervideos: https://grp.global.volkswagenag.com/web/public/content/display/helpvideos
3.1.1 Registrierung im GRP 1. Rufen Sie das Group Retail Portal (https://grp.volkswagenag.com) auf.
(Anmerkung: Alternativ erreichen Sie das Group Retail Portal auch über das CPN: https://grp.cpn.vwg)
2. Klicken Sie auf „Neuen Nutzer registrieren“.
3. Füllen Sie die erforderlichen Felder aus und klicken Sie auf „Registrierung“.
Nutzung von SFD
4. Sie erhalten eine Bestätigung per E-Mail. Klicken Sie auf den Link in der E-Mail, um die
Registrierung abzuschließen.
5. Loggen Sie sich im GRP ein und akzeptieren Sie die Cookie-Richtlinie sowie die
Nutzungsbedingungen.
3.1.2 Beantragung des Arbeitskontextes 1. Lassen Sie sich von dem Lokalen Administrator Ihres Autohauses die Daten zu Ihrem
Arbeitskontext geben.
2. Beantragen Sie einen Arbeitskontext, indem Sie nach dem Service-Partner suchen, für
den Sie tätig sind:
Partnernummer: Organisationsschlüssel des Service-Partners
Marke: Marke des Service-Partners
Wenn alle Angaben korrekt sind, wird der entsprechende Service-Partner angezeigt und
Sie können Ihre Anfrage absenden.
3. Dieser Beantragungsprozess kann bei Bedarf mit weiteren Arbeitskontexten wiederholt
werden.
3.1.3 Rollenzuweisung durch Lokalen Administrator 1. Als nächstes muss der Lokale Administrator des Service-Partners Ihren Antrag des
Arbeitskontextes bestätigen.
2. Der Lokale Administrator muss Ihnen nun mindestens eine der folgenden Rollen
zuweisen, damit Sie SFD nutzen können:
- Mechaniker
- Servicetechniker
- Werkstattleiter (Hintergrund: Im GRP werden im Gegensatz zum Händlerportal den Nutzern keine Applikationen direkt
zugewiesen, sondern lediglich Rollen. Wenn man eine bestimmte Applikation nutzen will, muss man eine Rolle
innehaben, der die gewünschte Applikation zugeordnet ist.)
Gleichzeitig muss mit Zuweisung der Rolle(n) eine Global User ID (GUID) beantragt
werden, damit man TOTP (und damit SFD) nutzen kann.
- 17 -
Nutzung von SFD
Alternative 2-Faktor-Authentifizierungsverfahren wie PKI-Karte und SecurID werden im GRP Trainingsguide
beschrieben: https://grp.global.volkswagenag.com/web/public/content/display/helpguide
Sie initiieren.
2. Sie erhalten anschließend eine E-Mail mit der Anleitung zur Aktivierung von TOTP. Bitte
führen Sie die Schritte der Reihe nach aus:
a) Rufen Sie den folgenden Link auf:
https://grp.volkswagenag.com/public/startotp.html
b) Melden Sie sich mit Ihren Zugangsdaten im GRP an.
c) Nach dem Login erscheint ein Feld zur Eingabe eines Einmal-Kennworts. Dieses
erhalten Sie in einer separaten E-Mail.
d) Nach Eingabe des Einmal-Kennworts erscheint ein QR-Code. Lassen Sie diese
Seite geöffnet.
https://grp.volkswagenag.com/isam/sps/static/grp/resources/GRPAuth/GRPAuth. exe herunter. (Alternativ können Sie auch andere Authenticator-Tools verwenden z.B. Google-Authenticator oder Microsoft-Authenticator. Nachfolgende Schritte erläutern wir am Beispiel des GRP-Authenticators.)
f) Nach dem Starten des GRP-Authenticators muss zunächst ein Master-Passwort
festgelegt werden. Danach lassen sich verschiedene Benutzer-Accounts
konfigurieren, sodass der GRP-Authenticator auch von mehreren Anwendern am
gleichen Diagnosetester genutzt werden kann.
Nutzung von SFD
g) Klicken Sie auf „Hinzufügen“, um ein neues Benutzerkonto zum GRP-
Authenticator hinzuzufügen. Tragen Sie ihren Namen sowie den Sicherheitscode
ein und legen Sie ein Passwort fest. Der Sicherheitscode ist der 12-stellige
alphanumerische Code unter dem QR-Code auf der GRP-Webseite. Damit ist das
Nutzerprofil im GRP-Authenticator erstellt.
h) Klicken Sie im GRP auf „Weiter“. Zur Verifizierung wird nun ein Einmal-Kennwort
aus dem GRP-Authenticator benötigt.
i) Klicken Sie auf das vom Pfeil umkreiste Schlosssymbol. Nach Eingabe des
Benutzerkennwortes wird ein Einmal-Kennwort generiert, welches 30 Sekunden
lang gültig ist.
j) Geben Sie das Einmal-Kennwort auf der GRP-Webseite ein und klicken Sie auf
„Bestätigen“, um die TOTP-Einrichtung abzuschließen. (Um das Einmal-Kennwort nicht manuell eingeben zu müssen, können Sie auch mit der rechten
Maustaste auf das Einmal-Kennwort klicken und im Kontextmenü „Kopieren des Codes“
auswählen.)
Es wird empfohlen, immer die Online-Freischaltung zu nutzen, da diese wesentlich einfacher und schneller abläuft. Für den Fall, dass die Online-Verbindung des Diagnosetesters in der Werkstatt vorübergehend nicht zur Verfügung steht, ist ersatzweise auch eine Offline-Freischaltung der Steuergeräte möglich (siehe Kapitel 3.3).
Die SFD-Freischaltung in ODIS Service (über Eigendiagnose bzw. Geführte Fehlersuche) funktioniert bei einer Authentifizierung über das Group Retail Portal grundsätzlich genauso wie bei einer Authentifizierung über das Händlerportal. Der grundlegende Ablauf der Online- Freischaltung von Steuergeräten mit ODIS Service ist in Kapitel 2.2 beschrieben. Der einzige Unterschied ist, dass anstatt der Anmeldung am Händlerportal eine 2-Faktor-Authentifizierung am Group Retail Portal erfolgt. Wenn Sie dazu aufgefordert werden, gehen Sie wie nachfolgend beschrieben vor.
- 19 -
Nutzung von SFD
Klicken Sie auf „TOTP Login“:
- 20 -
Nutzung von SFD
Generieren Sie ein Einmal-Kennwort mit dem GRP-Authenticator (wie in Kapitel 3.1.4, Schritt
2 i) beschrieben). Geben Sie das Einmal-Kennwort ein und klicken Sie auf „Bestätigen“:
Im Anschluss erfolgt der Abruf des Freischalt-Tokens genauso wie bei der Authentifizierung
über das Händlerportal (siehe Kapitel 2.2).
3.3 Manuelle Freischaltung (offline) von Steuergeräten mit ODIS Service
Die manuelle Freischaltung sollte nur für den Fall genutzt werden, dass die Online- Verbindung des Diagnosetesters in der Werkstatt vorübergehend nicht zur Verfügung steht. Die Offline-Freischaltung ist nur in der Betriebsart „Eigendiagnose“ möglich, da die Geführte Fehlersuche eine Anmeldung an den VW-Herstellersystemen (und damit eine Online- Anbindung) voraussetzt. Die manuelle SFD-Freischaltung in ODIS Service funktioniert bei einer Authentifizierung über das Group Retail Portal grundsätzlich genauso wie bei einer Authentifizierung über das Händlerportal. Der grundlegende Ablauf der manuellen (offline) Freischaltung von Steuergeräten mit ODIS Service ist in Kapitel 2.3 beschrieben. Der einzige Unterschied ist, dass die Applikation „SFD“ anstatt über das Händlerportal nun über das Group Retail Portal aufgerufen wird:
- 21 -
Nutzung von SFD
1. Rufen Sie das GRP unter https://grp.volkswagenag.com auf und melden Sie sich mit Ihren
Zugangsdaten an.
2. Klicken Sie auf die Kachel „SFD“:
3. Klicken Sie auf „TOTP Login“. Generieren Sie ein Einmal-Kennwort mit dem GRP-
Authenticator (wie in Kapitel 3.1.4, Schritt 2 i) beschrieben). Geben Sie das Einmal-
Kennwort ein und klicken Sie auf „Bestätigen“.
4. Als Nächstes werden Sie auf die SFD-Oberfläche weitergeleitet.
5. Gegebenenfalls müssen Sie die SFD-Nutzungsbedingungen noch akzeptieren.
6. Die Eingabe der Freischalt-Anfragestruktur und der Abruf des Freischalt-Tokens
funktioniert nun genauso wie bisher beim Aufruf der SFD-Oberfläche über das
Nutzung von SFD
4. Steuergeräte sperren Die Sperrung von Steuergeräten erfolgt immer gleich, unabhängig davon ob bei der Freischaltung die Authentifizierung über das Händlerportal oder das Group Retail Portal erfolgt ist. Beim Arbeiten mit der Geführten Fehlersuche werden SFD-geschützte Steuergeräte nach dem Ende der Diagnosesitzung automatisch wieder verschlossen. Ansonsten werden sie 90 min. nach der Freischaltung ebenfalls automatisch wieder verschlossen.
Jedes Steuergerät kann allerdings auch manuell wieder verschlossen werden, indem Sie bei einem geöffneten Steuergerät den Button „SG sperren“ drücken:
- 23 -
Nutzung von SFD
Die entsprechende Rückfrage beantworten Sie mit „Ja“:
Der Freischaltstatus zeigt nun an, dass das Steuergerät verschlossen ist. Sie können es dann erneut freischalten:
- 24 -
Nutzung von SFD
Alternativ können auch alle Steuergeräte auf einmal verschlossen werden, indem Sie „Fahrzeug sperren“ auswählen:
Anschließend bestätigen Sie das Sperren des Fahrzeugs mit Klick auf „Ja“:
- 25 -
Nutzung von SFD
Inhalt 1. Allgemeine Informationen zu SFD ........................................................................................ 2
1.1 SFD in 2 Stufen ............................................................................................................. 2
1.2 Authentifizierung ............................................................................................................ 2
1.3 Funktionsweise .............................................................................................................. 3
2. Nutzung von SFD mit Authentifizierung über das Händlerportal .......................................... 4
2.1 Registrierung der Nutzer im Händlerportal .................................................................... 4
2.2 Online-Freischaltung von Steuergeräten mit ODIS Service (empfohlen) ...................... 4
2.2.1 Online-Freischaltung mit Geführter Fehlersuche (empfohlen) ............................... 5
2.2.2 Online-Freischaltung in der Eigendiagnose ........................................................... 8
2.3 Manuelle Freischaltung (offline) von Steuergeräten mit ODIS Service ....................... 10
3. Nutzung von SFD mit Authentifizierung über das Group Retail Portal ............................... 15
3.1 Registrierung der Nutzer im Group Retail Portal ......................................................... 15
3.1.1 Registrierung im GRP .......................................................................................... 15
3.1.2 Beantragung des Arbeitskontextes ...................................................................... 16
3.1.3 Rollenzuweisung durch Lokalen Administrator .................................................... 16
3.1.4 Aktivierung der 2-Faktor-Authentifizierung ........................................................... 17
3.2 Online-Freischaltung von Steuergeräten mit ODIS Service (empfohlen) .................... 18
3.3 Manuelle Freischaltung (offline) von Steuergeräten mit ODIS Service ....................... 20
4. Steuergeräte sperren .......................................................................................................... 22
Nutzung von SFD
1. Allgemeine Informationen zu SFD Die Volkswagen AG hat im Jahr 2020 mit SFD (Schutz der Fahrzeugdiagnose) markenübergreifend ein neues Verfahren zum Schutz des Steuergeräte-Zugriffs bei neuen Fahrzeugmodellen eingeführt. Das bisherige Verfahren („Security-Access“ mittels 5-stelliger Login-Codes) entsprach nicht mehr dem Stand der Technik und den gesetzlichen UNECE- Anforderungen. Hintergrund und Funktionsweise von SFD sowie Hinweise für die Registrierung und Anwendung erhalten Sie mit dieser Information.
1.1 SFD in 2 Stufen Der SFD-Schutz wird in 2 Projekt-Stufen eingeführt. Stufe 1 umfasst den Zugriffsschutz auf geschützte Diagnoseobjekte in Steuergeräten und die Nachweisbarkeit dieser Zugriffe auf Einzelpersonen-Ebene. Der Schutzbedarf wird für bestimmte Steuergeräte festgelegt und beschränkt sich auf spezifische Schreibdienste (Codierungen, Anpassungen, Parametrierungen) sowie Routinen. Normale lesende Dienste (z.B. das Auslesen der Steuergeräte-Fehlerspeicher) sind nicht SFD-geschützt. Die Funktionen Datensatzdownload mit Bootloader-Datensätzen, das Flashen bzw. die Updateprogrammierung sowie die Flashdatensicherheit sind von SFD ebenfalls nicht betroffen.
Stufe 2 umfasst in Ergänzung zu Stufe 1 den Manipulationsschutz von Diagnoseinhalten beim Einbringen der Diagnoseinhalte durch Ende-zu-Ende-Absicherung der Diagnosedaten zwischen den Herstellersystemen der Volkswagen AG und den Steuergeräten.
1.2 Authentifizierung Um die Zugriffe auf schützenswerte Diagnoseinhalte protokollieren zu können, fordert die IT-Sicherheitsorganisation, dass sich Anwender mittels einer 2-Faktor-Authentifizierung identifizieren müssen, wie sie beispielsweise bei der Verwendung von folgenden Methoden realisiert wird:
PKI-Karten
SecurID-Karten
Applikationen, welche Einmalpasswörter generieren (TOTP-Verfahren: Time-based One Time Password), z.B. Google-Authenticator, Microsoft-Authenticator
Die 2-Faktor-Authentifizierung wird durch das Group Retail Portal (GRP) unterstützt, welches im Laufe des Jahres 2022 eingeführt wird. Bis zur Nutzung des GRP wird übergangsweise das Händlerportal zur Authentifizierung der Anwender für die SFD- Nutzung verwendet. Zu welchem Zeitpunkt der Umstieg vom Händlerportal auf das Group Retail Portal (GRP) in Ihrem Markt erfolgt, erfahren Sie von Ihrem zuständigen Importeur.
- 3 -
Nutzung von SFD
Wenn der Anwender im Rahmen einer Fahrzeugdiagnose an einem oder mehreren SFD- geschützten Steuergeräten SFD-geschützte Dienste ausführen will, meldet das Steuergerät, dass es SFD-geschützt ist und fordert einen Freischalt-Token. Der Diagnosetester sendet eine Freischalt-Anfrage mit dem ID-Merkmal des Steuergeräts und dem gewünschten Umfang an die Herstellersysteme der Volkswagen AG. Dort wird die Anfrage geprüft und autorisiert und es wird ein signierter Freischalt-Token an den ODIS-Diagnosetester gesendet. Weiterhin wird der Zugriff auf Volkswagen-Seite protokolliert (Nutzer-ID, VIN, Steuergeräte-ID-Merkmal, Zeitpunkt etc.). Der Diagnosetester sendet dann den Freischalt-Token an das Steuergerät. Das Steuergerät überprüft den Freischalt-Token und gewährt Zugriff auf die entsprechenden Diagnoseobjekte. Die Freischaltung von SFD-geschützten Steuergeräten erfordert im Regelfall eine Online- Anbindung des ODIS-Diagnosetesters. Für den Fall, dass die Online-Verbindung des Diagnosetesters in der Werkstatt vorübergehend nicht zur Verfügung steht, ist ersatzweise auch eine Offline-Freischaltung der Steuergeräte möglich.
- 4 -
Nutzung von SFD
2.1 Registrierung der Nutzer im Händlerportal Bevor SFD von den Anwendern genutzt werden kann, muss diesen vom Lokalen Administrator im Händlerportal in der „Lokalen Benutzerverwaltung“ die Standard-Rolle in der Applikation „SFD“ zugewiesen werden. Danach erfolgt in regelmäßigen Abständen eine Synchronisation der SFD-Berechtigung mit den Herstellersystemen der Volkswagen AG, sodass die Anwender spätestens am nächsten Tag SFD-Freischaltungen durchführen können.
2.2 Online-Freischaltung von Steuergeräten mit ODIS Service (empfohlen)
Es wird empfohlen, immer die Online-Freischaltung zu nutzen, da diese wesentlich einfacher und schneller abläuft. Für den Fall, dass die Online-Verbindung des Diagnosetesters in der Werkstatt vorübergehend nicht zur Verfügung steht, ist ersatzweise auch eine Offline-Freischaltung der Steuergeräte möglich (siehe Kapitel 2.3).
- 5 -
Nutzung von SFD
Nach dieser Anmeldung werden alle erforderlichen SFD-Freischalt-Token für Arbeiten an den Steuergeräten automatisch im Hintergrund abgerufen.
- 6 -
Nutzung von SFD
Nach der Fahrzeugidentifikation und dem Auslesen der Ereignisspeicher wählen Sie eine SFD-geschützte Funktion (im Beispiel die Online-Codierung) an einem SFD-geschützten Steuergerät (im Beispiel 15 - Airbag) aus:
Anschließend müssen Sie sich – wie bisher auch – für das Online-Codieren (Service 42 / SVM) noch einmal anmelden:
- 7 -
Nutzung von SFD
Beim Arbeiten mit der Geführten Fehlersuche werden SFD-geschützte Steuergeräte nach dem Ende der Diagnosesitzung automatisch wieder verschlossen.
- 8 -
Nutzung von SFD
2.2.2 Online-Freischaltung in der Eigendiagnose Bei einem Diagnoseeinstieg über die „Eigendiagnose“ können Sie nach der Auswahl eines Steuergeräts mit der Funktion „Messwerte anzeigen“ (Messwert [MAS 18157]_SFD- Freischaltzustand) feststellen, ob das Steuergerät SFD-geschützt ist. Um es freizuschalten, wählen Sie den Punkt „Zugriffsberechtigung“ aus:
Dann wählen Sie den Anwendungsfall „Online-Freischaltung“ aus:
- 9 -
Nutzung von SFD
Der Freischaltstatus zeigt die freigeschaltete Rolle und die restliche Freischaltdauer an:
- 10 -
Nutzung von SFD
Die manuelle Freischaltung sollte nur für den Fall genutzt werden, dass die Online- Verbindung des Diagnosetesters in der Werkstatt vorübergehend nicht zur Verfügung steht. Die Offline-Freischaltung ist nur in der Betriebsart „Eigendiagnose“ möglich, da die Geführte Fehlersuche eine Anmeldung an den VW-Herstellersystemen (und damit eine Online- Anbindung) voraussetzt. Sollte es keine Online-Verbindung vom Diagnosetester zum Werkstattnetz geben, wählen Sie nach der Auswahl „Zugriffsberechtigung“ die „Manuelle SFD-Freischaltung“ aus:
- 11 -
Nutzung von SFD
Wenn noch kein Freischalt-Token generiert wurde, beantworten Sie die folgende Frage mit „Nein“:
Die vom Steuergerät erzeugte Freischalt-Anfragestruktur wird benötigt, damit im Herstellersystem der Volkswagen AG ein Freischalt-Token erzeugt werden kann. Die Struktur können Sie nun entweder in die Zwischenablage kopieren oder in einer Datei speichern:
- 12 -
Nutzung von SFD
Anschließend rufen Sie im Händlerportal die Applikation „SFD“ auf:
Daraufhin gelangen Sie auf die SFD Webseite. Dort geben Sie die zuvor ermittelte Freischalt- Anfragestruktur sowie die Fahrgestellnummer (VIN) ein und wählen die Marke aus:
- 13 -
Nutzung von SFD
Durch Klick auf „Token anfordern“ wird der erforderliche Freischalt-Token erzeugt, den Sie anschließend in die Zwischenablage kopieren oder in eine Datei herunterladen können:
Zurück in ODIS Service mit Besitz des erforderlichen Freischalt-Tokens, bestätigen Sie die folgende Frage mit „Ja“:
- 14 -
Nutzung von SFD
Anschließend fügen Sie den Freischalt-Token ein – entweder über die Zwischenanlage oder per Datei:
Bitte beachten Sie:
7f218201d17f4e495f290170420d4445555657475053460000000b7f4c33060d2b0601 0401990a8d110a01000153225453522d54535230362e30332e313931353733303032 360201010000016d8c2a93b95f378201801a93a8785a7f3f30d78bcb820912eba561b 4376f30ab6536abf3cf266c64b5da77b7be62df24646fa998620d758ad4b657450a79b 95c4fd1b27158ea54c97a77b060003e07c54a9c9fc15f5078013f521b692598ce8039a 8a7ebba1392ad7b37c1a6640c996df3fdb44f303fa4011520ffb1bad46242f10397f4dfc 67dd12cb7483d7bffc1252a934315e08656fb2cdc488ba1dd491860159d3000a9c935d dcd9936d579453717c01ef83ad2d18a82c3135313fad881001a94fc28a961a6c03a681 541698a6e60c9288105c8f33c743d7c6519da639caab623268ebaaaebb01d30a49e00 be7a7794a03e4024e16c6ae582f7e1b9285e95f4b0edcc119310bc7c3faeedf63a1f7a3 4c8fb2eb822925c1a8242f80388ff1df2576f894f8a37b6ac4c96e12f5a069d327585e29 1e5ef24d233d1c26ad4ca3500f59032d27240a06f0fa6f202ae4a584cede7e6f7c76fae b10f5b34e1c754a1105f36fb7d7364cd66eaa975506d76c53b684b50f20549ae8124b9 0365f247f61692b1d857488254cd
- 15 -
Nutzung von SFD
3. Nutzung von SFD mit Authentifizierung über das Group Retail Portal
3.1 Registrierung der Nutzer im Group Retail Portal Bevor SFD über das Group Retail Portal (GRP) genutzt werden kann, muss der Nutzer dort registriert werden. Die vollständige Registrierung (inkl. Arbeitskontext, Rollenzuweisung und Freischaltung der 2-Faktor-Authentifizierung) wird in den Kapiteln 3.1.1 bis 3.1.4 beschrieben. Eine detaillierte Beschreibung der nachfolgenden Schritte finden Sie auch im GRP Trainingsguide und in den Benutzervideos des GRP. GRP Trainingsguide: https://grp.global.volkswagenag.com/web/public/content/display/helpguide GRP Benutzervideos: https://grp.global.volkswagenag.com/web/public/content/display/helpvideos
3.1.1 Registrierung im GRP 1. Rufen Sie das Group Retail Portal (https://grp.volkswagenag.com) auf.
(Anmerkung: Alternativ erreichen Sie das Group Retail Portal auch über das CPN: https://grp.cpn.vwg)
2. Klicken Sie auf „Neuen Nutzer registrieren“.
3. Füllen Sie die erforderlichen Felder aus und klicken Sie auf „Registrierung“.
Nutzung von SFD
4. Sie erhalten eine Bestätigung per E-Mail. Klicken Sie auf den Link in der E-Mail, um die
Registrierung abzuschließen.
5. Loggen Sie sich im GRP ein und akzeptieren Sie die Cookie-Richtlinie sowie die
Nutzungsbedingungen.
3.1.2 Beantragung des Arbeitskontextes 1. Lassen Sie sich von dem Lokalen Administrator Ihres Autohauses die Daten zu Ihrem
Arbeitskontext geben.
2. Beantragen Sie einen Arbeitskontext, indem Sie nach dem Service-Partner suchen, für
den Sie tätig sind:
Partnernummer: Organisationsschlüssel des Service-Partners
Marke: Marke des Service-Partners
Wenn alle Angaben korrekt sind, wird der entsprechende Service-Partner angezeigt und
Sie können Ihre Anfrage absenden.
3. Dieser Beantragungsprozess kann bei Bedarf mit weiteren Arbeitskontexten wiederholt
werden.
3.1.3 Rollenzuweisung durch Lokalen Administrator 1. Als nächstes muss der Lokale Administrator des Service-Partners Ihren Antrag des
Arbeitskontextes bestätigen.
2. Der Lokale Administrator muss Ihnen nun mindestens eine der folgenden Rollen
zuweisen, damit Sie SFD nutzen können:
- Mechaniker
- Servicetechniker
- Werkstattleiter (Hintergrund: Im GRP werden im Gegensatz zum Händlerportal den Nutzern keine Applikationen direkt
zugewiesen, sondern lediglich Rollen. Wenn man eine bestimmte Applikation nutzen will, muss man eine Rolle
innehaben, der die gewünschte Applikation zugeordnet ist.)
Gleichzeitig muss mit Zuweisung der Rolle(n) eine Global User ID (GUID) beantragt
werden, damit man TOTP (und damit SFD) nutzen kann.
- 17 -
Nutzung von SFD
Alternative 2-Faktor-Authentifizierungsverfahren wie PKI-Karte und SecurID werden im GRP Trainingsguide
beschrieben: https://grp.global.volkswagenag.com/web/public/content/display/helpguide
Sie initiieren.
2. Sie erhalten anschließend eine E-Mail mit der Anleitung zur Aktivierung von TOTP. Bitte
führen Sie die Schritte der Reihe nach aus:
a) Rufen Sie den folgenden Link auf:
https://grp.volkswagenag.com/public/startotp.html
b) Melden Sie sich mit Ihren Zugangsdaten im GRP an.
c) Nach dem Login erscheint ein Feld zur Eingabe eines Einmal-Kennworts. Dieses
erhalten Sie in einer separaten E-Mail.
d) Nach Eingabe des Einmal-Kennworts erscheint ein QR-Code. Lassen Sie diese
Seite geöffnet.
https://grp.volkswagenag.com/isam/sps/static/grp/resources/GRPAuth/GRPAuth. exe herunter. (Alternativ können Sie auch andere Authenticator-Tools verwenden z.B. Google-Authenticator oder Microsoft-Authenticator. Nachfolgende Schritte erläutern wir am Beispiel des GRP-Authenticators.)
f) Nach dem Starten des GRP-Authenticators muss zunächst ein Master-Passwort
festgelegt werden. Danach lassen sich verschiedene Benutzer-Accounts
konfigurieren, sodass der GRP-Authenticator auch von mehreren Anwendern am
gleichen Diagnosetester genutzt werden kann.
Nutzung von SFD
g) Klicken Sie auf „Hinzufügen“, um ein neues Benutzerkonto zum GRP-
Authenticator hinzuzufügen. Tragen Sie ihren Namen sowie den Sicherheitscode
ein und legen Sie ein Passwort fest. Der Sicherheitscode ist der 12-stellige
alphanumerische Code unter dem QR-Code auf der GRP-Webseite. Damit ist das
Nutzerprofil im GRP-Authenticator erstellt.
h) Klicken Sie im GRP auf „Weiter“. Zur Verifizierung wird nun ein Einmal-Kennwort
aus dem GRP-Authenticator benötigt.
i) Klicken Sie auf das vom Pfeil umkreiste Schlosssymbol. Nach Eingabe des
Benutzerkennwortes wird ein Einmal-Kennwort generiert, welches 30 Sekunden
lang gültig ist.
j) Geben Sie das Einmal-Kennwort auf der GRP-Webseite ein und klicken Sie auf
„Bestätigen“, um die TOTP-Einrichtung abzuschließen. (Um das Einmal-Kennwort nicht manuell eingeben zu müssen, können Sie auch mit der rechten
Maustaste auf das Einmal-Kennwort klicken und im Kontextmenü „Kopieren des Codes“
auswählen.)
Es wird empfohlen, immer die Online-Freischaltung zu nutzen, da diese wesentlich einfacher und schneller abläuft. Für den Fall, dass die Online-Verbindung des Diagnosetesters in der Werkstatt vorübergehend nicht zur Verfügung steht, ist ersatzweise auch eine Offline-Freischaltung der Steuergeräte möglich (siehe Kapitel 3.3).
Die SFD-Freischaltung in ODIS Service (über Eigendiagnose bzw. Geführte Fehlersuche) funktioniert bei einer Authentifizierung über das Group Retail Portal grundsätzlich genauso wie bei einer Authentifizierung über das Händlerportal. Der grundlegende Ablauf der Online- Freischaltung von Steuergeräten mit ODIS Service ist in Kapitel 2.2 beschrieben. Der einzige Unterschied ist, dass anstatt der Anmeldung am Händlerportal eine 2-Faktor-Authentifizierung am Group Retail Portal erfolgt. Wenn Sie dazu aufgefordert werden, gehen Sie wie nachfolgend beschrieben vor.
- 19 -
Nutzung von SFD
Klicken Sie auf „TOTP Login“:
- 20 -
Nutzung von SFD
Generieren Sie ein Einmal-Kennwort mit dem GRP-Authenticator (wie in Kapitel 3.1.4, Schritt
2 i) beschrieben). Geben Sie das Einmal-Kennwort ein und klicken Sie auf „Bestätigen“:
Im Anschluss erfolgt der Abruf des Freischalt-Tokens genauso wie bei der Authentifizierung
über das Händlerportal (siehe Kapitel 2.2).
3.3 Manuelle Freischaltung (offline) von Steuergeräten mit ODIS Service
Die manuelle Freischaltung sollte nur für den Fall genutzt werden, dass die Online- Verbindung des Diagnosetesters in der Werkstatt vorübergehend nicht zur Verfügung steht. Die Offline-Freischaltung ist nur in der Betriebsart „Eigendiagnose“ möglich, da die Geführte Fehlersuche eine Anmeldung an den VW-Herstellersystemen (und damit eine Online- Anbindung) voraussetzt. Die manuelle SFD-Freischaltung in ODIS Service funktioniert bei einer Authentifizierung über das Group Retail Portal grundsätzlich genauso wie bei einer Authentifizierung über das Händlerportal. Der grundlegende Ablauf der manuellen (offline) Freischaltung von Steuergeräten mit ODIS Service ist in Kapitel 2.3 beschrieben. Der einzige Unterschied ist, dass die Applikation „SFD“ anstatt über das Händlerportal nun über das Group Retail Portal aufgerufen wird:
- 21 -
Nutzung von SFD
1. Rufen Sie das GRP unter https://grp.volkswagenag.com auf und melden Sie sich mit Ihren
Zugangsdaten an.
2. Klicken Sie auf die Kachel „SFD“:
3. Klicken Sie auf „TOTP Login“. Generieren Sie ein Einmal-Kennwort mit dem GRP-
Authenticator (wie in Kapitel 3.1.4, Schritt 2 i) beschrieben). Geben Sie das Einmal-
Kennwort ein und klicken Sie auf „Bestätigen“.
4. Als Nächstes werden Sie auf die SFD-Oberfläche weitergeleitet.
5. Gegebenenfalls müssen Sie die SFD-Nutzungsbedingungen noch akzeptieren.
6. Die Eingabe der Freischalt-Anfragestruktur und der Abruf des Freischalt-Tokens
funktioniert nun genauso wie bisher beim Aufruf der SFD-Oberfläche über das
Nutzung von SFD
4. Steuergeräte sperren Die Sperrung von Steuergeräten erfolgt immer gleich, unabhängig davon ob bei der Freischaltung die Authentifizierung über das Händlerportal oder das Group Retail Portal erfolgt ist. Beim Arbeiten mit der Geführten Fehlersuche werden SFD-geschützte Steuergeräte nach dem Ende der Diagnosesitzung automatisch wieder verschlossen. Ansonsten werden sie 90 min. nach der Freischaltung ebenfalls automatisch wieder verschlossen.
Jedes Steuergerät kann allerdings auch manuell wieder verschlossen werden, indem Sie bei einem geöffneten Steuergerät den Button „SG sperren“ drücken:
- 23 -
Nutzung von SFD
Die entsprechende Rückfrage beantworten Sie mit „Ja“:
Der Freischaltstatus zeigt nun an, dass das Steuergerät verschlossen ist. Sie können es dann erneut freischalten:
- 24 -
Nutzung von SFD
Alternativ können auch alle Steuergeräte auf einmal verschlossen werden, indem Sie „Fahrzeug sperren“ auswählen:
Anschließend bestätigen Sie das Sperren des Fahrzeugs mit Klick auf „Ja“:
- 25 -
Nutzung von SFD
![Komplettlösungen! Steuergeräte-Diagnose und Fahrzeugsystem ... · 2 Moderne Fahrzeugdiagnose mit den Kombilösungen von Bosch ESI[tronic] 2.0 – Werkstatt-Software für umfassende](https://static.fdokument.com/doc/165x107/5d59401988c9937b108b5ed5/komplettloesungen-steuergeraete-diagnose-und-fahrzeugsystem-2-moderne-fahrzeugdiagnose.jpg)
![d'n'sL ck/fw -;+lxtf P]g, @)&$ - Nepal Police · 6 !#= afnaflnsfn] u/]sf] sfd s;"/ gx'g] M bz jif{ pd]/ gk'u]sf] afnaflnsfn] u/]sf] s'g} sfd s;"/ dflgg] 5}g . !$= xf]; 7]ufgdf g/x]sf]](https://static.fdokument.com/doc/165x107/5e74896c1a76dc64fb2230e7/dnsl-ckfw-lxtf-pg-nepal-police-6-afnaflnsfn-usf-sfd-s.jpg)
