Inhaltsverzeichnis

I Vorwort

II Schwächen des bisherigen Konzepts

III Lösungsansätze

IV Konzeptions-Vorschlag

IV.1 Überblick

IV.2 Die Werkstattkarte

IV.3 Die Identifikationskarte

IV.4 Die Speicherkarte

IV.5 Das Mobilgerät

IV.6 Das Einbaugerät

IV.7 Flankierende Massnahmen

V Argumente


Vorwort

Dieses Dokument basiert auf den aktuell verfügbaren Dokumentationen zum neuen Euro-Tachograph. Es wurde aufgrund der deutschen Zusammenfassung des im Original englischen Gutachtens der Universität Cambridge über die Sicherheit des neuen Tachographen-Konzepts verfasst. Als weitere Quelle diente der Anhang 1b zum neuen Euro-Tachographen und einige Fach- und Presseberichte zur gleichen Materie. Ziel ist es, zu den dokumentierten Schwachpunkten der jetzigen Konzeption Stellung zu beziehen und sie zu ergänzen, aber auch ein möglicher Lösungsweg aufzuzeigen.

Dokumentenstatus:

Dieses Dokument hat die erste definitive Fassung erreicht. Ein Stück weit ist es ein Arbeitsdokument, deshalb werden auch weiterhin noch Ergänzungen hinzukommen und Details in Aussagen angepasst werden.

Unsere Adresse:

4 L GmbH
Oberzeiherstrasse 1
CH-5079 Zeihen

Tel: +41 62 867 4000

Fax: +41 62 876 3111

www.4l-gmbh.ch
 


Schwächen des bisherigen Konzepts

Der Bericht der Universität Cambridge ist weitestgehend komplett und sehr fundiert. Nachfolgend finden sich einige Punkte, die bei der Überprüfung des Konzeptes nicht beleuchtet worden sind, oder deren Konsequenzen noch eine Stellungnahme erforderten.

Momentan wird der Versuch unternommen, mit Teilsicherheiten ein sicheres Gesamtsystem zu erbauen. Dabei werden wesentliche Punkte übersehen:

Die Unsicherheit steigt mit der Verbreitung.

Je weiter ein System verbreitet ist, desto mehr arbeiten an dessen Umgehung. Bekanntermassen ist eine Bankkarte für sich unsicher. Ihre Sicherheit ergibt sich durch das dahinterstehende System und die Sorgfalt des Benutzers. Es gibt also keine Parallelen zum konzipierten Tachographen und der Ausdruck „Sicherheit wie im Bankensektor“ ist nicht anwendbar.

Der Wert von Information steigt mit deren Umfang.

Ist auf einem Blatt Papier eine garantiert richtige Zahl für die nächste Lottoziehung notiert, so ist das Blatt eher wertlos. Sind alle sechs richtigen notiert, so liegt sein Wert verhältnismässig hoch. Genauso verhält es sich mit der Fahrerkarte: je mehr Informationen darauf gespeichert ist, desto wertvoller wird sie. Insofern ist der Wunsch nach einer Aufzeichnung von einem Jahr in einem Datenspeicher nicht ganz nachvollziehbar, zumal eine Teilbeschädigungen kaum vorkommt und deshalb immer alle Daten zusammen verlorengehen würden.

Sicheres Mobilgerät kaum machbar

Eine mobile Lösung, wie eine Fahrerkarte gemäss Anhang 1b sie darstellt, kann nicht abgesichert werden. Jeder noch so sichere (mechanische) Schlüssel kann leicht gefälscht werden, sobald ich ihn aus der Hand gebe. Gleiches gilt für digitale Medien. Das Manipulieren der Daten kann nur mehr oder weniger mühselig sein. Es entscheidet der Nutzen einer Manipulation über den Aufwand, den zu treiben jemand bereit sein wird.

Unterstützung durch den Benutzer fehlt

Im vorliegenden Konzept ist die Unterstützung der Sicherheit durch den Benutzer nicht gegeben. Es ist eher zu vermuten, dass der Benutzer selber ein Interesse an der Zerstörung der Daten hat, was auf vielerlei Arten geschehen kann (Mikrowelle, Stromstoss, Lösungsmittel, etc.). Daher werden alle Konzepte, die eine gewisse Sorgfalt voraussetzen, nicht greifen können.

Aufzeichnung wäre zerstörungsfrei

Die Aufzeichnung ist zerstörungsfrei ausgelegt, jedenfalls ist nichts anderes spezifiziert. Dadurch entsteht Raum für eine Datenmanipulation, die sehr schwer nachgewiesen werden kann. Ein sehr grosser Vorteil der jetzigen Tachoscheibe ist der, dass die Aufzeichnungen auf der Scheibe irreversibel sind. Die Scheibe wird durch die Aufzeichnung quasi zerstört. Sie lässt sich kaum löschen oder ändern. Es wäre vorteilhaft, die digitale Aufzeichnung auch unveränderlich zu gestalten, indem man in echte ROM-Zellen schreibt, in Zellen, die durch partielle Zerstörung (durchbrennen von Verbindungen) beschrieben werden. UV- oder elektrisch löschbare Speicherzellen sind also nicht geeignet.

Speichergrösse versus Sicherheit

Nach unserer Kenntnis kann man nur auswählen zwischen sicheren Speicherkarten oder grosser Speicherkapazität. Sobald ein Kryptologieprozessor auf der Karte integriert wird, sinkt ihre Speicherkapazität beträchtlich. Es ist wahrscheinlich, dass Lösungen in diesem Bereich gefunden werden, aber etablieren konnte sich noch keine.

Datenübertragung schnell genug?

Die Datenübertragung von und zur Karte verläuft seriell. Hätte die Karte nur schon 64kB Kapazität, so müssten wenigstens 640 kBits Daten übertragen werden. Da die Daten bereits in kompakter Form vorliegen müssen, tritt eine Datenreduktion durch die Verschlüsselung nicht ein, vielmehr ist von einer erhöhten Datenmenge auszugehen. Unseres Wissens bewegt sich der Standart zur Datenübertragung bei 19200 bps (Bits pro Sekunde), was anders ausgedrückt eine Übertragungszeit in einer Richtung von immerhin 33 Sekunden bedeuten würde - ohne aufwendiges Übertragungsprotokoll. Auch hier haben Fortschritte stattgefunden, aber es ist nicht erwähnt, ob eventuell zu geringe Übertragungsraten ein Problem darstellen oder nicht. Muss die Karte komplett ausgelesen werden, um die Fehlerfreiheit der Aufzeichnung festzustellen?

Nochmal: Die Rolle des Benutzers

Es wird einem Fahrer kaum je einleuchten, dass präzisere Kontrollen nur zu seinem Besten sind. Jeder wird sofort einen Wettbewerbsnachteil anführen. Da sind Ängste vorhanden, die mit Argumenten kaum abgebaut werden können. Es ist also davon auszugehen, dass die Fahrergemeinschaft geschlossen gegen die Einführung eines elektronischen Erfassungsgeräts handeln wird, unabhängig von verbalen Zugeständnissen. Der Nutzen für den Anwender muss ein Ziel des Konzeptes sein, damit die Betroffenen es zu einem Gutteil eingeführt sehen wollen.

Trotz allem: Aufzeichnung lückenhaft

Ein grosses Problem stellt die Aufzeichnung von Informationen ausserhalb des Fahrzeuges dar. Bekanntlich muss sich auch ein Fahrer, der nur gelegentlich ein LKW bewegt, an die Vorschriften halten. Die jetzigen Konzepte bieten keine Lösungen zur manuellen Aufzeichnung. Natürlich könnte man überall Datenstationen aufbauen, an denen eine fahrzeugexterne Manipulation möglich wäre. Es ist aber zu bedenken, dass kaum genutzt wird, was nicht gerade in Reichweite ist. Es wäre eine denkbar einfache Ausrede „ich habe kein Terminal gefunden“, um Aufzeichnungslücken zu rechtfertigen. Das Konzept sollte unbedingt diesen Bereich auch abdecken.


Lösungsansätze

Ist nur eine 100%-Lösung tauglich?
Es fragt sich, ob eine 100%-Lösung anzustreben ist. Es wäre doch möglich, dass das Gros der fälschungswilligen Benutzer durch recht einfache Sicherungen von Manipulationsversuchen abgehalten werden kann. Falls dem so wäre, würde auch eine gegenseitige Kontrolle stattfinden. Heutzutage gilt ein gewisses Mass an Manipulation als opportun, fast jeder Fahrer kennt eine Anzahl von Tricks dazu. Sobald die Mehrheit keine Möglichkeit zur Manipulation mehr hat, wird das Mauscheln nicht mehr salonfähig sein.

Routinemässige Kontrollen

Es ist ein Trend der Behörde zu erkennen, dass von zyklische Kontrollen noch weit mehr zu Stichproben übergegangen wird, obwohl politisch andere Forderungen laut geworden sind. Um so härter werden aufgedeckte Vergehen geahndet. Da wird die Diskrepanz zwischen der Wahrscheinlichkeit erwischt zu werden und dem Strafmass immer absurder. Es wäre wünschenswert, wenn die Kontrollen routinemässig durchgeführt würden, beispielsweise, indem man die Datenträger jeweils der kontrollierenden Behörde einschicken müsste. Dadurch würden sich die Fahrer und Unternehmer an das Überprüftwerden gewöhnen und es nicht mehr als lästige Ausnahmesituation ansehen in deren Verlauf das Erwischtwerden bloss Pech ist. Wenn allen klar wäre, dass man in aller Regel erwischt wird, so würden weniger Risiken eingegangen. Diese Vorgehensweise würde voraussetzen, dass die Daten in maschinell verarbeitbarer Form vorliegen und dass der Fahrer überhaupt je die Möglichkeit erhält, die geltenden Gesetze einzuhalten.

Reduktion der Aufzeichnungsmenge

Um den Wert der digitalen Aufzeichnung nicht zu hoch werden zu lassen, wäre eine Reduktion der Aufzeichnungsdauer des Speichermediums anzustreben. Eine Woche oder zwei würden genügen. Dafür könnten billige ROM-Karten Verwendung finden, die, vom Fahrer unterschrieben, mit einem Papier-Dokument vergleichbar wären. Da es sich dabei um eine zerstörende Aufzeichnung handelt, die darüber hinaus nicht einer Alterung unterliegt, wäre selbst die Archivierung gelöst. Sollte eine Karte an ihre Kapazitätsgrenze gelangen, könnte jederzeit eine weitere eingesetzt werden. Es wäre sogar wünschenswert, wenn nicht zweimal dieselbe Karte eingesetzt werden könnte. Die geringere Kapazität würde eine rasche Überprüfung des Inhaltes ermöglichen.

Optische Überprüfbarkeit

Damit Übertretungen einfach sichtbar wären, könnten - im Hinblick auf eine kostengünstige Mechanik - Marken am Kartenrand eingebrannt oder eingeschnitten werden, womit einer Patrouille signalisiert würde, ob eine weitere Untersuchung angezeigt wäre. Auch eine einfache Klassierung liesse sich so erreichen, also ob nur eine Bagatelle vorliegt oder eben ein schwereres Vergehen. Weit mehr kann eine mobile Equipe heutzutage auch nicht feststellen. Dies könnte ein Hauptargument gegen die Notwendigkeit eines Druckers sein, da sowieso - auch wieder aus Preisgründen - nur eine Thermodrucker in Frage käme, mit all seinen Nachteilen.

Schonung der Mechanik

Kostengünstige Karten kommen oft mit dem runden, 4- bis 8-teiligen Kontaktblock daher. Die Lebensdauer der Kontaktflächen auf der Karte ist weniger ein Problem als die Kontaktierung seitens des Gerätes. Schon deshalb wäre es wünschenswert, wenn die Karte nicht zu oft entnommen und wieder eingeführt würde, da eine Gerätereparatur vermutlich recht teuer würde. Natürlich gibt es dauerhaftere Mechaniken, jedoch zu einem hohen Preis. Im Bereich Mobiltelefon hat sich die SIM-Karte mit ihrer einfachen Kontaktierung bestens bewährt.

Fahrerkarte sinnvoll!

Einer der Hauptgründe für eine Fahrerkarte ist ja ihre Funktion als Identifikator. Wäre es nicht denkbar, den Fahrausweis mit einer entsprechenden Identifizierung, ähnlich des SIM-Karte, zu versehen, jedoch auf eine extensive Datenspeicherung darauf zu verzichten? Die Karte würde günstiger und die Technologie dazu ist vorhanden.

Fahrerbezogene Aufzeichnung

Aus dem letzten Argument des vorigen Kapitels geht hervor, dass eine rein fahrzeugbezogene Lösung erhebliche Lücken aufweisen wird. Es stellt sich also die Frage, ob ein einerseits fast absolut sicheres System mit andererseits erheblichen Aufzeichnungslücken nicht seinen Sinn verliert. Weil die Daten sowieso fahrerbezogen sind, wäre ein mobiles, persönliches Gerät denkbar, das die Identifizierung, die Datenaufzeichnung und die manuelle Bedienung abdeckt. So ein Gerät könnte nur bis zu einem gewissen Grad abgesichert werden. Wenn es aber mit positiven Attributen versehen werden könnte, beispielsweise durch einen Zeitplaner, einen kräftigen Wecker, Notizmöglichkeit von betrieblichen Daten, liesse sich eine Kooperation der Fahrer günstig beeinflussen. Es soll nicht nur ein Kontrollmittel sein, sondern ein unverzichtbares Arbeitsgerät.

Fahrzeugbezogene Aufzeichnung

Eine fahrzeugseitige Aufzeichnung wäre gleichwohl wünschenswert. Die persönlichen und die fahrzeugbezogenen Daten müssten korrelieren und die gegenseitige Identifikation von Fahrzeug und Fahrer würde eine Fälschung erschweren. Die Daten wären redundant vorhanden, nicht aber in der exakt gleichen Form. Auch hier wäre wiederum eine zerstörende Aufzeichnung eines begrenzten Zeitraumes wünschenswert, idealerweise mit demselben Datenträger. Da die Elektronik recht simpel ausfallen könnte, weil sich der Anspruch einer absoluten Sicherheit relativiert, wäre ein sehr kostengünstiges Nachrüstgerät für ältere Fahrzeuge denkbar. Dies wäre im Hinblick auf eine Gleichbehandlung aller notwendig. Ein Fahrer müsste sich immer mittels zweier Belegen rechtfertigen können: entweder mit zwei digitalen Aufzeichnungen vom Fahrzeug und vom persönlichen Gerät, oder mit der persönlichen digitalen Aufzeichnung und den herkömmlichen Tachoscheiben.

Möglichst wenige Sonderrechte

Im Referenztext der Universität Cambridge wurden Bedenken angemeldet, dass ein Tachograph mit der entsprechenden Berechtigung gelöscht werden könnte. Es stellt sich die Frage, ob dies sein muss. Wenn der Tachograph nur eine Sicherheitskopie der Fahrerdaten zurückbehalten würde, wäre sie nicht so wertvoll und damit auch keinen Angriffen ausgesetzt. Wenn ferner jede Manipulation, die eine spezielle Berechtigung voraussetzt, unlöschbar einprogrammiert würde, wäre ein Verwischen von Spuren kaum möglich. Die dabei anfallende Informationsmenge ist derart gering, dass ein begrenzter Speicher kein wirkliches Hindernis darstellt. Genauso könnte jede Fahrer-Identifikation fest gespeichert werden, auch wenn in einem Betrieb, wo pro Fahrzeug und Tag zehn Fahrerwechsel vorkommen, innert fünf Jahren der Tacho ausgetauscht werden müsste, weil der Speicher voll ist. Gleiches gilt für den aktiven Datenspeicher. Weshalb muss er überhaupt gesamthaft gelöscht werden können? Es reicht doch schon, wenn die ältesten Daten überschrieben werden. Wenn - wie zuvor beschrieben - die wertvolleren Daten sowieso archiviert werden, tritt auch kein Speicherproblem auf. Man könnte auf grosszügige Sonderrechte verzichten, womit die Lust am Fälschen von Berechtigungskarten etwas eingedämmt werden würde.

Anreize schaffen

Der Fahrer und der Unternehmer müssen ein Interesse daran haben, die Daten unverändert zu belassen. Dienen sie aber nur dem Gesetzgeber, so werden alle damit verbundenen Pflichten automatisch als lästig empfunden.

Um den Fahrer zur Ehrlichkeit anzuhalten, würde eine einfache Massnahme genügen: Die von ihm gesammelten Daten müssten für die Arbeitslosenkasse, die Versicherung oder die Lohnabrechnung herangezogen werden. Welche Varianten da offenstehen, muss abgeklärt werden. Der Sinn daran ist, dass es um die ureigensten Interessen des Fahrers geht, die Daten nicht zu verfälschen.

Um dem Unternehmer einen Anreiz zu verschaffen, ihn auch zur Umrüstung auf neue Tacho-Systemen zu bewegen, aber ihn mindestens vom pauschalen Boykott abzuhalten, muss er zwingend die gesammelten Betriebsdaten nutzen können, sei es für Kundenabrechnungen, das Flottenmanagement oder jede weitere denkbare Anwendung dieser Daten.


Konzeptions-Vorschlag

Überblick

Das System soll aus folgenden Komponenten bestehen: Es werden keine Karten hin- und hergewechselt, sondern das Mobilgerät erhält die Identifikationskarte des Fahrers eingeschoben. Das Mobilgerät identifiziert sich und den Besitzer beim Fahrzeug. Die Speicherkarte vom Fahrzeug wird auch nur nach Bedarf oder wöchentlich gewechselt. Das schont die Mechanik und beugt groben Fehlmanipulationen vor.

Obwohl eine Speicherkarte wesentlich teurer werden wird als die bisherigen Papierscheiben, dürfte sich dies kaum als grosses Problem herausstellen.

Durch den konzeptionellen Wegfall der Speicherkapazität von einem Jahr rücken die Preise in eine bezahlbare Region.

Die Werkstattkarte

Die Werkstattkarte erlaubt die Eichung des Gerätes. Die Eichparameter könnten problemlos via Mobilgerät eingegeben werden, doch wäre ein separater verplombbarer Datenanschluss eine grössere psychologische Hürde. Die Identifikation wird dauerhaft gespeichert. Weitergehende Sonderrechte werden dem Besitzer der Karte nicht vergeben. Dadurch soll das Interesse an ihr geringgehalten werden.

Ihre Kennung muss im Einbaugerät fest verankert werden zusammen mit den veränderten Daten.

Eine Karte für die Polizei sollte es nicht geben, da diese ja nur für zwei Fälle einzusetzen wäre:

    Die Polizei darf versteckte Daten einsehen. Wieso sollte das der Fahrer nicht auch dürfen?

    Die Polizei vermerkt eine vorgenommene Kontrolle, damit dieses Fahrzeug in einer folgenden Kontrolle nicht mehr angehalten wird. (Da würde ich mir als Fahrer doch sofort eine Polizei-Karte fälschen lassen!)

Die Identifikationskarte

Die Identifikationskarte identifiziert den Fahrer bei seinem persönlichen Gerät, ähnlich einer SIM-Karte für das Mobiltelefon. Diese Karte soll einige Sicherheitsmerkmale aufweisen, die die Kopie oder Fälschung erschweren. Die Identifikationskarte wird im Mobilgerät eingesetzt und verbleibt dort bis zu einem Gerätewechsel. Sie nimmt keine, zumindest keine relevanten, Daten auf. Ausführungen mit aufgebrachtem Passfoto sind denkbar, genauso eine Form des Fahrausweises.

Die Speicherkarte

Die Speicherkarte soll vor allem kostengünstig und in grösster Stückzahl produzierbar sein. Eine aufgedruckte und eingeschriebene, fortlaufende Seriennummer würde die Erstellung von Kopien erschweren. Die Karte sollte einen Aufdruck erhalten wo sowohl das Mobilgerät als auch das Einbaugerät Marken aufbringen kann, die erste Informationen für Strassenkontrollen liefern. Ferner soll die Karte beschriftbar sein, so dass ein paar handschriftliche Informationen etwas grosszügiger Platz finden können, vielleicht auch eine Unterschrift, die das elektronische Dokument auch tatsächlich für gültig erklären würde (dies ist bisher eigentlich eine Grauzone).

Es ist eine äusserst wirksame Sicherheiten einbaubar: Da die Daten selber nicht verschlüsselt sein sollen, damit man sie problemlos für die Betriebsdatenerfassung auslesen kann, braucht es eine andere Authentifizierung. Dies kann dadurch geschehen, dass auf jeder Karte ein Daten-Schlüssel aufgebracht ist, mit dem ein paar Systemdaten verschlüsselt abgelegt werden können. Dazu sollte gehören: die Seriennummern des Mobilgerätes und - wenn vorhanden - des Einbaugerätes, die Fahrer-Identifikation und die letzten zehn Seriennummern der Speicherkarten. Dieser verschlüsselte Bereich würde also gleichzeitig die Authentifizierung und die Sicherung vor Datenmanipulation sein. Die Voraussetzung dazu wäre, dass jede Speicherkarte eine eindeutige Seriennummer hätte und dass der dauernd variierende Schlüssel (public key) und sein Gegenstück (private key) zu jeder Karte bekannt ist.

Wie weit man damit gehen möchte, ist zu definieren. Tatsache ist, dass dadurch keine erheblichen Kosten entstünden, da man die Speicherkartenproduktion sowieso irgendwie verwalten muss, sonst könnte ja jeder „seine“ Speicherkarten produzieren.

Immer noch am einfachsten wäre es, irgendwie ein zweites Mobilgerät zu beschaffen. Auch da könnte man entgegenwirken, indem man auf der Fahrzeug-Speicherkarte den Fahrerwechsel auf der Kartenoberfläche markiert. Da vom Fahrerwechsel der Zeitpunkt bekannt wäre (Abfrage via Mobilgerät), würde man in einer Strassenkontrolle sofort erkennen, ob kurz zuvor schnell das eigene Gerät wieder eingelegt wurde.

Das Mobilgerät

Das Mobilgerät muss sehr handlich sein, nicht zu klein, nicht zu schwer und sehr robust. Es sollte eine Autonomie von wenigstens einem halben Tag haben (Vollbetrieb) und die Möglichkeit, mit Adaptern an allen möglichen Stromnetzen von Fahrzeugen und Häusern angeschlossen zu werden. Erst damit lassen sich die Zeiten ausserhalb des oder nicht entsprechend ausgerüsteten Fahrzeugen erfassen.

Es verfügt über alle notwendigen Bedienungselemente um auch eine Standort-Eingabe und die Eingabe von Bemerkungen zu ermöglichen. Ferner verfügt es über eine leicht ablesbare Anzeige, einen Piepser und über eine Aufnahme besagter Speicherkarte. Zum Einsetzen der Fahrer-Identifikation darf auch ein Schraubendreher bemüht werden müssen.

Erst das Bestücken des Mobilgerätes mit der Identifikationskarte, macht das Gerät persönlich. Die auf dem Gerät gespeicherten Daten sind in jedem Fall Kopien der Speicherkarten und bräuchten nicht separat abgesichert zu werden. Im Falle eines Defektes einer Speicherkarte könnte das Auslesen des Gerätespeichers als Indiz betrachtet werden. Dadurch könnten Handkorrekturen ausdrücklich zugelassen werden, da sie die aufgezeichneten Daten nicht verfälschen. Eine Handkorrektur würde als solche auch in die Karte geschrieben. Damit wäre ein weiterer grosser Nachteil der digitalen Aufzeichnung aus der Welt.

Das Gerät enthält also die Fahrer-Information. Es wäre wünschenswert, wenn Leitfunktionen nach dem Vorbild unseres ARVY-1 eingebaut wären, da sich die Gesetzgebung nicht vereinfachen wird.

Falls ein mobiles Aufzeichnungsgerät ausfallen würde, wären seine Daten wahrscheinlich nicht mehr zugänglich. Um den Fahrer nicht ohne Information sitzen zu lassen, könnten die fehlenden Daten mittels der auf dem Bordrechner und in den Speicherkarten gespeicherten Daten ergänzt werden. Dies könnte weitestgehend automatisch ablaufen. Der Ausfall eines Gerätes würde immer ein Fehlerprotokoll bedingen und die Aufzeichnung müsste bis zum Zeitpunkt des Ausfalls komplett sein. Ausserdem müsste die parallel laufende fahrzeugbezogene Aufzeichnung lückenlos sein. Eine gezielte Fälschung wäre enorm schwierig, da man kaum vier Unregelmässigkeiten an vier verschiedenen Orten glaubhaft begründen könnte. Gezielte Veränderungen der im Gerät gespeicherten Informationen wären nur Selbstbetrug.

Die Ausgabe der Mobilgeräte würde über die Behörde oder Vertragswerkstätten erfolgen. Ein gewisser Pool an Tauschgeräten könnte auch auf den in Fahrerkreisen sehr populären Autohöfen verfügbar sein, damit ein Austausch sehr rasch stattfinden könnte. In jedem Fall müsste die Zuteilung durch ein Protokoll bekannt gegeben werden.

Die Kommunikation mit dem Einbaugerät erfolgt kontaktlos via doppelt ausgelegter Infrarot-Schnittstelle, weil die Sende-Dioden schon mal kaputt gehen können. Ausserdem lassen sich Indizien zu Manipulationsversuchen sammeln. Die Stromversorgung erfolgt über solide Kontakte. Ein Stromstoss darf in jedem Fall nur das interne Netzteil zerstören, nicht jedoch die Datenaufzeichnung. Das Gerät muss dann ab seinem Akku bis zum Werkstattermin, wenn auch mit Einschränkungen, weiterlaufen können (auch deshalb der halbe Tag Autonomie).

Das Mobilgerät soll nur eine begrenzte Anzahl Besitzerwechsel unterstützen und dies in einem ebenfalls nicht löschbaren internen Speicher ablegen. Damit wäre die Gerätegeschichte auf dem Gerät selber aufgezeichnet.

Das Einbaugerät

Das Einbaugerät soll primär den Tachographen ersetzen. Es wären auch Modelle zum Anschluss an die bestehenden Tachographen denkbar. Einfache Sicherungen gegen unbefugte Eingriffe lassen sich durch Plombieren weitgehend regeln. Wenn auch hierzu in jedem Fall ein gezeichnetes Protokoll vorhanden sein muss und ferner das Entfernen und Anbringen der Plombierung aufgezeichnet wird, wäre das Gerät ausreichend gesichert.

Die Daten selber müssten nicht speziell gesichert übertragen oder gelagert werden. An dieser Stelle ist auch zu bemerken, dass die Codier-Algorithmen teils lizensiert werden müssten. Wo vertretbar, muss also darauf verzichtet werden. Dieses Gerät soll bestenfalls einen kleinen Akku besitzen. Auch ohne ihn muss eine letzte Aufzeichnung, vom Stromausfall, ausgeführt werden können. Allenfalls sollte ein Gerät extern gestützt werden können, insbesondere dann, wenn man sich entschliessen würde, dass ein eine gewisse Zeit dauernder Stromausfall nur durch eine Werkstatt quittiert werden kann. Im Zusammenhang mit Gefahrengut-Transporten müssten noch ein paar Überlegungen hierzu getätigt werden.

Das Einbaugerät muss nur eine Karte aufnehmen können. In ihr werden die fahrzeugrelevanten Daten abgelegt, nach dem genau gleichen Verfahren wie im Mobilgerät. Auch hier sollen ganz einfache Marken Aufschluss geben, ob eine Untersuchung sinnvoll ist. Die Mechanik soll so ausgeführt sein, dass Manipulationen entweder nicht möglich sind, genau erkannt werden oder das Gerät zerstört wird. Es soll ausdrücklich nicht unzerstörbar sein, denn damit würde nur die Experimentierfreude steigen. Eine gewisse Sorgfaltspflicht, wie sie einem CD- oder Kassetten-Spieler gegenüber selbstverständlich ist, muss auch hier vorausgesetzt werden.

Die Verbindung zum Getriebesensor soll selbstüberwachend sein. Dies wäre mit einem recht einfachen Protokoll zu bewerkstelligen. Damit wären natürliche Ausfälle genauso erkennbar wie Manipulationen mit Hausmitteln. Eine weitergehende Absicherung ist eigentlich nicht möglich, da der nächste Schritt der Manipulation sowieso das Versetzen des Sensors und den Einbau einer Attrappe wäre. Da hilft auch das beste Protokoll zum nun isolierten Geber nichts. Es wäre bei einer weiteren Integration des Gerätes in die Fahrzeug-Elektronik möglich, aus der Motordrehzahl, der Gangstufe und der Kupplung eine Vergleichsgeschwindigkeit zu errechnen und somit die Sensorik auf höherer Ebene zu überprüfen. Dies wäre sehr schwer zu standardisieren. Alternativ müsste man auch über eine Zulassung anderer, weitaus sichererer Geschwindigkeitsmessungen nachdenken. Niemand würde sich alle vier ABS-Sensoren lahmlegen, um das Geschwindigkeitssignal zu beeinflussen.

Im Gegensatz zum Mobilgerät sollte das Einbaugerät auch markenspezifisch ausgestaltet sein können, genauso wie heute Hersteller eigene Tachographen anbieten. Es sollte auch Teil der Fahrzeug-Elektronik sein dürfen.

Die Kommunikation erfolgt auch hier über zwei redundante Infrarot-Schnittstellen. Auch sie müssen geometrisch so angeordnet sein, dass die Kommunikation immer aufrechterhalten aber auch überprüft werden kann.

Als Bedienungselemente braucht es nur die bestehenden Fahrer- und Beifahrerschalter und Mittel zum Richten der Uhr. Eine Statusanzeige und ein Piepser komplettieren die Ausrüstung. Dies ist die Minimalanforderung, da weitere Funktionen auch über jedes Mobilgerät ausgelöst werden können. Auch über die Infrarot-Schnittstelle eines Laptops könnte mit beiden Geräten kommuniziert werden.

Natürlich sind viele weitere Ausbaustufen bis zum ausgewachsenen Kommunikationssystem denkbar. Beispielsweise wäre schon der Anschluss eines GPS-Empfängers deshalb sinnvoll, weil die Ortsangabe automatisiert werden könnte - wenn denn Koordinaten als Angaben überhaupt zulässig sind.

Die Uhren der beiden Geräte werden nicht automatisch abgeglichen. Dafür wird mindestens einmal täglich die Zeitdifferenz notiert. Die Anzeige der Uhrzeit und die intern verwaltete Zeit unterscheiden sich dadurch, dass Erstere automatisch zwischen Sommer- und Winterzeit umschaltet und aus Letzterer durch Angabe der Zeitzone errechnet wird. Dadurch kann man grössere Zeitkorrekturen als ±1 Minute als verdächtig bezeichnen. Ein manuell ausgelöster Zeitabgleich soll auch möglich sein, da das Mobilgerät wohl öfter gerichtet wird und somit eher als Referenz dienen kann, andersherum ein angeschlossenes GPS-Modul ohne weiteres das Mobilgerät richten kann.

Das Einlegen der Mobilgeräte und die damit verbundene Fahreridentifikation und auch jede Identifikation durch eine Werkstattkarte soll unlöschbar im Einbaugerät eingebrannt werden. Damit wird einerseits die Anzahl Fahrerwechsel begrenzt, aber dadurch ist auch hier die Gerätegeschichte auf dem Gerät verfügbar.

Flankierende Massnahmen


4L GmbH

Entwicklungsleiter Hardware
Martin Schmid


Argumente

Frage: Wie wird verhindert, dass mit Fremdgeräten gefahren wird, beispielsweise auf ein Mobilgerät eines ferienhalber abwesenden Kollegen?

Antwort: Gar nicht. Solches wäre nur mittels biometrischer Sensoren (Fingerabdruck, Iris) zu erreichen. Aber in einer Fahrzeug-Kontrolle wäre auch so sehr leicht zu entdecken, dass ein falsches Gerät eingelegt ist und dies müsste entsprechend geahndet werden. Der Verlust an Arbeitszeit auf dem eigenen Konto sollte ein weiterer Hinderungsgrund sein.

Frage: Wird diese Art von elektronischer Aufzeichnung nicht viel zu teuer werden?

Antwort: Sicher, ganz billig wird es nicht. Im Preis ist die bisherige Aufzeichnung auf Papier nicht zu schlagen. Bisher kommen pro Woche etwa 6 Scheiben à 0.10 DM als reine Betriebskosten zusammen. Amortisation, Prüfgebühr und Reparaturen werden um eine Grössenordnung darüberliegen. Künftig werden zwei Speicherkarten pro Woche (1 x Fahrzeug, 1 x Fahrer) fällig, die hoffentlich für deutlich unter 10 DM zu produzieren sein werden. Auf der anderen Seite steht eine massive Einsparungen in der Administration, die keine Tachoscheiben mehr auswerten muss. Dies ist ja in ein paar Ländern schon Pflicht.

Frage: Ist das System nicht zu leicht manipulierbar?

Antwort: Es gibt für Fälschungen keine allzu grossen Hürden zu überwinden, das stimmt für jedes einzelne Teil. Um eine perfekte Manipulation zu erreichen, müsste jedoch an zu vielen Orten Änderungen vorgenommen werden. Die Ausrüstung dazu wäre nicht mal so teuer, aber die Arbeit hier und da wäre sehr gross. Erst müssten zwei verschiedene ROM-Karten gefälscht werden, damit nicht sofort ein Verdacht entsteht. Dann müssten noch die Gerätespeicher entsprechend manipuliert werden, damit die Fälschung perfekt wäre.

Frage: Hier ist doch auch von Karten mit wenigstens aber vermutlich mehr als 64kB Kapazität die Rede. Vorher wurde aber angemerkt, dass die Übertragungszeit zu hoch sein könnte. Was ist jetzt die Aussage?

Antwort: Die 64KB reichen für die Datenspeicherung über ein Jahr nie. Man sieht schon an der relativ geringen Datenmenge einer 64KB-Karte, dass da erhebliche Übertragungszeiten entstehen können. Man muss jetzt anmerken, dass noch nicht definitiv festgelegt ist, was auf die Karte wirklich geschrieben werden muss. Es ist jedoch anzunehmen, dass die Karte gemäss den Spezifikationen im Anhang 1b wenigstens 1MB haben müsste, was der 16-fachen einer 64KB-Karte Kapazität entspräche. Ohne die Aufzeichnung der Motoren-Drehzahl sollte eine 64KB-Karte für eine Woche reichen und neben der Geschwindigkeit auch weitere Daten unkomprimiert speichern können. Da die Daten - auch aus Sicherheitsgründen - kontinuierlich eingeschrieben werden, entstehen in der Regel keine langen Übertragungszeiten. Jede Kompression würde das Risiko eines Datenverlustes erhöhen, wie vom weitverbreiteten ZIP-Format bekannt, und wäre nur eingeschränkt für ein kontinuierliches Beschreiben des Speichers zu gebrauchen. 64KB wäre ein guter Kompromiss zwischen Grösse und Zugriffszeit. Zum jetzigen Zeitpunkt ist diese Zahl aus der Luft gegriffen.

Frage: Das Mobilgerät kann herunterfallen. Die fahrerspezifischen Daten würden dann ja auch lückenhaft?

Antwort: Das ist richtig. Ein Marder kann auch das Kabel vom Getriebesensor durchbeissen, dann wären die Fahrzeugdaten lückenhaft oder durch einen ganz normalen Schaden an der Elektronik könnte es zu einem Total-Ausfall kommen. In beiden Fällen gibt es eine Kopie der Daten auf dem nicht ausgefallenen Gerät. In beiden Fällen wäre der Zeitpunkt des Ausfalles dokumentiert und für beide Fällen wäre zusammen mit dem Reparaturprotokoll auch eine schriftliche Abrechnung zuzulassen.

Frage: Nochmal: Würden der elektronische Tachograph nach diesem Muster nicht schon in der Produktion zu teuer?

Antwort: Wenn man auf mechanische Komponenten weitestgehend verzichten kann, wird das Gerät nicht speziell teuer. Über den Daumen gepeilt würde ich behaupten, es käme in der Anschaffung sogar günstiger als die jetzige mechanische Aufzeichnung, sagen wir, knapp 1000.- DM. Man muss unbedingt auf Grosserientechnik aufbauen, keine ausgefallenen Bauteile verwenden und auch wirklich ein günstiges Gerät bauen wollen! Ausserdem würde eine „halbe Lösung“ mit Anschluss an die bestehenden Tachographen wohl auch positiv aufgenommen werden, da grundsätzlich keine Rechtsungleichheit entstehen würde, was zurzeit ein Hauptargument gegen die elektronische Erfassung darstellt. Auch Fahrzeughersteller könnten profitieren und die Konsole für das Mobilgerät in ihrem Design integrieren. Sie müssten nicht auf eine sperriges Gerät Rücksicht nehmen, sondern wären in der Gestaltung weitestgehend frei. Der Preis für das Einbaugerät dürfte dann im Fahrzeugpreis verschwinden, genau wie ein Bordrechner oder eine Standheizung. Der Kunde müsste nur noch die Mobilgeräte beschaffen.

Frage: Fahren in Mehrfachbesatzung wäre mit nur einer Konsole im Einbaugerät ja nicht möglich. Wie sollte das zweite Mobilgerät davon erfahren?

Antwort: Es gibt mehrere Möglichkeiten: Erstens kann das Einbaugerät dies entdecken. Es bemerkt ja, dass zwei Fahrer sich abwechseln und kann dies an das jeweils eingelegte Mobilgerät weitervermitteln. Es reicht ja eigentlich nicht, dass ein zweiter Fahrer anwesend ist, sondern sie müssen tatsächlich abwechselnd fahren. Dies könnte erstmals sauber erfasst werden. Zweitens wäre eine zusätzliche Konsole preislich kein Thema. Sie würde am Einbaugerät angeschlossen und selber bloss aus einem Kunststoff-Formteil mit zwei eingelassenen Kontakten, zwei Infrarot-Kommunikationsstrecken und etwas Kabel bestehen. Drittens wäre auch eine reine Handbedienung vertretbar. Ein Missbrauch könnte auch ausgeschlossen werden, da der zweite Fahrer nicht gleichzeitig ein anderes Fahrzeug führen kann.

Frage: Wenn die Aufzeichnung derart genau ist, kann man während der Ruhezeit nicht einmal das Fahrzeug umparken?

Antwort: Dies ist richtig. Eine Lenkzeit würde auf jeden Fall die Ruhezeit zerstören, weil der Bahn- oder Schiffsverlad nicht geltend gemacht werden kann. Dies ist ein Problem der Gesetzgebung und nicht des eingesetzten Systems. Zurzeit sind diese Ungenauigkeiten in den Auslegungen und im Vollzug wirkliche Fallen für den Fahrer. Es wird Zeit, dass diese Probleme gelöst werden, und durch eine genauere Aufzeichnung werden sie aktuell.

Frage: Benachteiligt dieses System nicht die, die es einsetzen?

Antwort: Normalerweise nicht. Im Gegenteil kann und soll es als nützliches Werkzeug zur Arbeitsplanung dienen. Man brauch es nur mit der der nötigen Logik auszustattet (Vorbild ARVY-1). Dadurch ist es erst möglich, die durch die geltenden Gesetze gegebenen Freiheiten voll auszunützen. Was für den Steuerzahler der Steuerberater, kann das Mobilgerät für den Fahrer sein. Dies ist erfahrungsgemäss ein grosser Vorteil.

Frage: Wird die dahinterstehende Infrastruktur nicht zu aufwendig?

Antwort: Die zu verarbeitenden Datenmengen sind vergleichsweise gering. Pro Woche würden dazu aber mehrere Millionen Fahrzeug- und Fahrerkarten verarbeitet werden müssen, was geschätzt 500GB (Gigabytes) Daten entspricht Dazu müssten automatische Lesemaschinen entwickelt werden, die die Karten stapelweise verarbeiten können. Dies mag nach einem sehr hohen Aufwand klingen, doch durch die gute automatisierbarkeit dürfte es kein Problem sein. Ausserdem muss diese Datenmenge nicht gesondert archiviert werden, da sie bereits in archivierbarer Form vorliegen. Ferner muss auch beachtet werden, dass die Wirksamkeit von routinemässigen Kontrollen ungleich höher liegt, als die von Stichproben. Das Kosten/Nutzen-Verhältnis dürfte hervorragend ausfallen. Da stellen telemetrische Systeme, wie sie im Gespräch sind, ganz andere Anforderungen. eschätzt 500GB (Gigabytes) Daten entspricht Dazu müssten automatische Lesemaschinen entwickelt werden, die die Karten stapelweise verarbeiten können. Dies mag nach einem sehr hohen Aufwand klingen, doch durch die gute automatisierbarkeit dürfte es kein Problem sein. Ausserdem muss diese Datenmenge nicht gesondert archiviert werden, da sie bereits in archivierbarer Form vorliegen. Ferner muss auch beachtet werden, dass die Wirksamkeit von routinemässigen Kontrollen ungleich höher liegt, als die von Stichproben. Das Kosten/Nutzen-Verhältnis dürfte hervorragend ausfallen. Da stellen telemetrische Systeme, wie sie im Gespräch sind, ganz andere Anforderungen.