Fahrzeugöffnung ohne Spuren

Fahrzeugöffnung ohne Schlüssel - ohne Einbruchspuren

OK, wir zeigen hier jetzt sicher nicht, wie man ein Kfz ohne aktive Mitwirkung des berechtigten Benutzers öffnet bzw. entwendet. Für das Verständnis einer vollkommen spurlosen Öffnung eines Fahrzeuges wird in dem obigen Video jedoch mit den Orginalprodukten und der erforderlichen Hard- und Software der Ablauf demonstriert. Letztlich ist dieser Ablauf mit jeder Fernbedienung und jedem Funkschlüssel möglich, der im Bereich zwischen 1 MHz und 6 GHz arbeitet, das dürfte zu 100% der Fall sein.

Funkschlüssel aus Kraftfahrzeugen arbeiten zur (vermeintlichen) Sicherheit oft mit einem Rollcode (Wechselcode, rolling code), diese Sicherheit täuscht jedoch. Für einen beabsichtigten und berechtigten Öffnungsvorgang schickt der Funkschlüssel eine verschlüsselte Sequenz an das Fahrzeug. Mit jeder Kommunikation zwischen Fahrzeug und Schlüssel wird die Sequenz geändert, die wiederum auf einem dem Hersteller bekannten Algorithmus beruht. Jeder Schlüssel hat einen anderen Startwert, wobei das Fahrzeug den Startwert des dem Kfz zugeordneten Funkschlüssels kennt. Auch mit jeder geänderten Sequenz kann das Fahrzeug bei jeder Anfrage unterscheiden, ob das Signal bzw. die Anforderung vom berechtigten Schlüssel kommt. Darüber hinaus werden bei Mehrfachanforderungen vom gleichen Funkschlüssel, alle davor übertragenen Sequenzen und Kommandos gelöscht. Damit wird verhindert, dass Öffnungssequenzen von Tätern auf Vorrat abgefangen und gespeichert werden.

Dennoch kann ein solches Fahrzeug mit dem bereits beschriebenen Equipment mit relativ geringem Mehraufwand geöffnet werden. Wichtig ist dabei der Umstand, dass die Hardware im angegebenen Frequenzbereich auch senden kann; die Hardware wird als Störsender / Jammer missbraucht. Sobald der Fahrzeughalter eine Anforderung an sein Fahrzeug schickt, wird das Funksignal des Schlüssels mit der gleichen Frequenz überlagert, was zur Folge hat, dass das Schlüsselsignal vom Fahrzeug nicht erkannt und nicht angenommen wird. Dieser Anfragecode wird jedoch unbemerkt auf dem Laptop abgespeichert. Und was macht ein Fahrzeugführer, wenn die Betätigungsanforderung über den Schlüssel nicht geklappt hat? Logisch, er drückt ein zweites Mal auf die Fernbedienung, wonach das Fahrzeug dann reagiert. Darüber wird sich auch kaum ein Fahrzeugbenutzer wundern, weil sowas immer mal wieder aus nachvollziehbaren Gründen (Abstand, hab ich auch richtig gedrückt? etc.) vorkommt. Das Fahrzeug schließt bzw. öffnet nun. Aber: Was der Benutzer und das Fahrzeug nicht merken können - das Fahrzeug wurde von der Hardware des Täters mit dem vorletzten gültigen und abgefangenen Betätigungscode versorgt. Weil der Täter auch bei der zweiten Betätigung der Fernbedienung den Codeaustausch mit dem Störsender unterbunden hat, verfügt er nun über einen gültigen Öffnungscode und kann in das Fahrzeug eindringen.

Und glauben Sie bitte nicht, dass nichts weiter passieren könnte, weil Sie Ihr Fahrzeug ohnehin in der Garage abstellen. Die Garage ist mit den gleichen Werkzeugen und Methoden schnell geöffnet. Dazu muss noch nicht mal ein Anfragecode der Fernbedienung abgefangen werden. Typische 12 bit Fernbedienungen sind u.a. mit der De Bruijn sequence in 8 Sekunden gehackt, da kann man sich als Täter das Sampeln der Fernbedienung sparen und gleich zuschlagen und die Garage öffnen. Als Video anschauen: Öffnen eines Garagentors - ohne Fernbedienung

Erläuterung des Ablaufs als Grafik:

Die erste Anforderung vom Fahrzeugschlüssel wird vom Jammer (diese Funktion übernimmt jetzt die Hardware in der Mitte) übertönt bzw. abgefangen, aber abgespeichert.

Jammer

Nachdem das Fahrzeug beim ersten Versuch nicht reagiert hat, drückt der Fahrzeugbenutzer erneut auf die Fernbedienung. Auch diese Codesequenz wird abgefangen, an das Fahrzeug wird jedoch die Anforderungssequenz Nr. 1 aus dem ersten Öffnungsversuch geschickt, das Fahrzeug entriegelt.

Störsender

Jetzt hat der Täter einen freien, unbenutzen Code übrig und kann das Fahrzeug entriegeln, ohne über die Originalschlüssel zu verfügen.

Fahrzeug kann geöffnet werden

Und was ist mit dem Schlüssel... ?

Ok, jetzt denken Sie, mit der Fahrzeugöffnung allein hat der Täter nicht automatisch einen Zündschlüssel, um das Fahrzeug zu entwenden.

Stimmt, stört aber nicht weiter.

Eine verbreitete Methode war und ist eine (unbemerkte) Reichweitenverlängerung des Originalschlüssels mit der sich u.a. der ADAC seit längerer Zeit im Rahmen der ADAC-Autotests beschäftigt. In der vom ADAC veröffentlichten Liste der für diesen Angriff ungeschützten Fahrzeuge "Autos und Motorräder mit Keyless-Schließsystem, die der ADAC illegal öffnen und wegfahren konnte" finden sich nahezu alle Herstellernamen (Liste anschauen). Mit der aus Tätersicht trotz aller Einfachheit in der Durchführung dennoch lästigen Abarbeitung der erforderlichen Schritte wurden die Öffnungsmethoden ständig verbessert und vereinfacht. Bei einer Entwendung mit der Reichweitenverlängerung müssen sich zwei Täter organisieren, wobei sich einer davon ständig in der Nähe des Opfers oder zumindest des Originalschlüssels befinden muss. Und wenn in dieser Kombination alles gepasst hat, kann das Fahrzeug entriegelt und gestartet werden. Wenn der Täter allerdings dann das Fahrzeug z.B. abwürgt oder (etwa zum Betanken) abstellt, hat sich die versuchte Entwendung für dieses Fahrzeug erledigt. Der Originalschlüsssel ist nicht mehr erreichbar, damit kann das Fahrzeug nicht mehr gestartet werden. Das sind in der Begutachtungspraxis u.a. dann diese Fälle, wo das entwendete Fahrzeug geöffnet und ohne Schäden und insbesondere ohne Aufbruchmerkmale aufgefunden wird, sich (fast) niemand einen Reim drauf machen kann und der Versicherer evtl. unangenehme Fragen stellt.

Die Optionen zur Ablaufoptimierung sind einfach, schnell, erfordern kein spezielles Fachwissen (des Täters) und können je nach den Anforderungen an den Leistungsumfang der Geräte, Hardware und Software in der Anschaffung recht günstig sein, aber auch im 4stelligen Euro-Bereich liegen. Das links abgebildete Programmiergerät ist z.B. ein seit Jahren sehr erfolgreiches Modell und deckt trotz des Kaufpreises von derzeit nur 80.- bis 140 € nahezu alle Hersteller und eine Vielzahl von Fahrzeugmodellen (>1500) ab (Liste anschauen). Ein häufiger Nachteil der Low-Cost Programmiergeräte ist der Umstand, dass zur Programmierung eines Schlüsselrohlings meist ein Originalschlüssel benötigt wird, was für den redlichen Benutzer, der nur einen weiteren Ersatzschlüssel braucht, kein Problem darstellt - für einen Täter mit unlauteren Absichten schon. In seltenen Konstellationen (eher die Ausnahme) kann auch dieser Programmer direkt über die OBD-II Schnittstelle einen Schlüssel programmieren.

Zu der Königsklasse dieser Schlüsselprogrammierer zählt das unten abgebildete Gerät, was auf Fahrzeuge eines Premiumherstellers spezialisiert ist. Für einen Kaufpreis von immerhin ca. 3500.- € erwirbt der geneigte Täter ein Gerät, mit dem er nach einer Verbindung mit der OBD-II Schnittstelle einen funktionierenden Schlüssel erstellt und entspannt mit dem Fahrzeuge auf Reise geht. Für die Anfertigung dieser Schlüsselkopie wird zu keinem Zeitpunkt ein Originalschlüssel benötigt! Eine derart komfortable Schlüsselerstellung können selbst die Niederlassungen dieses Herstellers dem geschätzten Kunden nicht anbieten. Die Investition des Täters war dabei auf 3-4% des Fahrzeugneupreises beschränkt - für das erste auf diesem Weg übernommene Fahrzeug. Jedes weitere ist praktisch umsonst...