34C3: Ladesäulen für Elektroautos sind unsicher

"Schwarzladen" gehört laut Mathias Dalheimer zu den einfachsten Übungen. Er wirft den Betreibern unsichere Zahlungsprotokolle, Manipulierbarkeit und spielend leicht kopierbare Ladekarten vor. Beim beschleunigten Ausbau vernachlässigten sie die Sicherheit.

Rund um Ladesäulen für Elektroautos gibt es reichlich Sicherheitsprobleme. Das hat Mathias Dalheimer, der sich schon länger mit der anfälligen Technik der Stromtankstellen beschäftigt, auf dem 34. Chaos Communication Congress (34C3) in Leipzig ausgeführt. Er hält Herstellern und Betreibern fehlende Manipulationssicherheit, ungesicherte Zahlungsprotokolle und einfach kopierbare Zahlkarten vor. Der Ausbau der Ladeinfrastruktur werde durch Fördermaßnahmen beschleunigt, aber das gehe offenbar auf Kosten der Sicherheit.

Stromtankstelle für Elektroautos (Screenshot: ZDNet.de)

In der Ladesäule sieht er nur eine „glorifzierte Drehstomsteckdose“, auf der man sogar mit einem Autosimulator Strom für andere Zwecke beziehen kann. MIt einem solchen Simulator sah er sich diverse Ladesäulen und ihre Backend-Kommunikation näher an. Diese erfolgt zumeist über das „Open Charge Point Protocol“ (OCPP), um etwa den Ladevorgang freizuschalten.

Da die eingesetzten NFC-Karten ebenso wie das Protokoll selbst schwerwiegende Mängel aufweisen, ist es aber mit mäßigem Aufwand möglich, Strom auf fremde Kosten zu beziehen, warnte Dalheimer auf dem Hackerkongress. Umgekehrt könnten böswillige Betreiber von Ladesäulen einzelne Ladevorgänge protokollieren und später zusätzliche Umsätze für sich generieren, indem sie weitere Ladevorgänge simulieren.

Da die Stromtankstellen teilweise an das Internet angeschlossen sind, können diese laut Dalheimer sogar ferngesteuert werden. Aus der Ferne sei es etwa möglich, einen laufenden Ladevorgang abzubrechen. Mit direktem Zugriff auf eine Ladestation lasse sie sich darüber hinaus beliebig neu konfigurieren. Ausgelesene Daten erlaubten, Ladekarten für betrügerische Zwecke zu klonen. Nur wenige Schrauben seien zu lösen, um einen USB-Stick anzuschließen und an Zugangsdaten zu gelangen.

In seinem 34C3-Vortrag erklärte Mathias Dalheimer, wie die Abrechnungssysteme funktionieren. Verschiedene mögliche Angriffe zeigte er mit Proof-of-Concept-Implementationen auf. Seiner Einschätzung nach sind die Ladekarten so unsicher, dass von ihrer Nutzung derzeit abzuraten ist.

„Die Anbieter haben grundlegende Sicherheitsmechanismen nicht umgesetzt“, zitiert die Deutsche Welle den Experten vom Fraunhofer-Institut für Techno- und Wirtschaftsmathematik ITWM in Kaiserslautern. „Das ist, als ob ich mit einer Fotokopie meiner Girokarte im Supermarkt bezahlen würde – und der Kassierer das akzeptiert.“

Themenseiten: Auto & IT, CCC, E-Commerce, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu 34C3: Ladesäulen für Elektroautos sind unsicher

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *