34C3: Ladesäulen für Elektroautos sind unsicher

Rund um Ladesäulen für Elektroautos gibt es reichlich Sicherheitsprobleme. Das hat Mathias Dalheimer, der sich schon länger mit der anfälligen Technik der Stromtankstellen beschäftigt, auf dem 34. Chaos Communication Congress (34C3) in Leipzig ausgeführt. Er hält Herstellern und Betreibern fehlende Manipulationssicherheit, ungesicherte Zahlungsprotokolle und einfach kopierbare Zahlkarten vor. Der Ausbau der Ladeinfrastruktur werde durch Fördermaßnahmen beschleunigt, aber das gehe offenbar auf Kosten der Sicherheit.

In der Ladesäule sieht er nur eine „glorifzierte Drehstomsteckdose“, auf der man sogar mit einem Autosimulator Strom für andere Zwecke beziehen kann. MIt einem solchen Simulator sah er sich diverse Ladesäulen und ihre Backend-Kommunikation näher an. Diese erfolgt zumeist über das „Open Charge Point Protocol“ (OCPP), um etwa den Ladevorgang freizuschalten.

Da die eingesetzten NFC-Karten ebenso wie das Protokoll selbst schwerwiegende Mängel aufweisen, ist es aber mit mäßigem Aufwand möglich, Strom auf fremde Kosten zu beziehen, warnte Dalheimer auf dem Hackerkongress. Umgekehrt könnten böswillige Betreiber von Ladesäulen einzelne Ladevorgänge protokollieren und später zusätzliche Umsätze für sich generieren, indem sie weitere Ladevorgänge simulieren.

Da die Stromtankstellen teilweise an das Internet angeschlossen sind, können diese laut Dalheimer sogar ferngesteuert werden. Aus der Ferne sei es etwa möglich, einen laufenden Ladevorgang abzubrechen. Mit direktem Zugriff auf eine Ladestation lasse sie sich darüber hinaus beliebig neu konfigurieren. Ausgelesene Daten erlaubten, Ladekarten für betrügerische Zwecke zu klonen. Nur wenige Schrauben seien zu lösen, um einen USB-Stick anzuschließen und an Zugangsdaten zu gelangen.

In seinem 34C3-Vortrag erklärte Mathias Dalheimer, wie die Abrechnungssysteme funktionieren. Verschiedene mögliche Angriffe zeigte er mit Proof-of-Concept-Implementationen auf. Seiner Einschätzung nach sind die Ladekarten so unsicher, dass von ihrer Nutzung derzeit abzuraten ist.

„Die Anbieter haben grundlegende Sicherheitsmechanismen nicht umgesetzt“, zitiert die Deutsche Welle den Experten vom Fraunhofer-Institut für Techno- und Wirtschaftsmathematik ITWM in Kaiserslautern. „Das ist, als ob ich mit einer Fotokopie meiner Girokarte im Supermarkt bezahlen würde – und der Kassierer das akzeptiert.“

ZDNet.de Redaktion

Recent Posts

Weltweiter PC-Markt schrumpft im dritten Quartal

Während der US-Markt um 5,6 Prozent wächst, bricht der Absatz in China um 10 Prozent…

9 Stunden ago

Wie haben technologische Innovationen das Internet sicherer gemacht?

Mit der wachsenden Verbreitung digitaler Technologien haben auch die Bedrohungen im Internet in den letzten…

11 Stunden ago

Oktober-Patchday: Microsoft schließt aktiv ausgenutzte Zero-Day-Lücken

Von fünf Zero-Day-Lücken werden zwei bereits von Hackern eingesetzt. Insgesamt bringt der Oktober-Patchday Fixes für…

12 Stunden ago

KI-Bots auf der Spur

KI-Bots scrapen durchs Netz, sammeln Inhalte, um KI-Modelle wie Chat GPT zu füttern. Lässt sich…

15 Stunden ago

Surfen im Zug: 200 Mbit/s auf 99 Prozent der Hauptstrecken

Bilanz nach drei Jahren Kooperation: Zugreisende Telekom-Kunden haben auf vielen Bahnstrecken ordentliche Bandbreiten.

16 Stunden ago

Nur knapp jede/r fünfte nutzt Passkeys

Obwohl das Verfahren in punkto Sicherheit und Usability überzeugt, ist dies zu wenigen bekannt und…

17 Stunden ago