34C3: Ladesäulen für Elektroautos sind unsicher

Rund um Ladesäulen für Elektroautos gibt es reichlich Sicherheitsprobleme. Das hat Mathias Dalheimer, der sich schon länger mit der anfälligen Technik der Stromtankstellen beschäftigt, auf dem 34. Chaos Communication Congress (34C3) in Leipzig ausgeführt. Er hält Herstellern und Betreibern fehlende Manipulationssicherheit, ungesicherte Zahlungsprotokolle und einfach kopierbare Zahlkarten vor. Der Ausbau der Ladeinfrastruktur werde durch Fördermaßnahmen beschleunigt, aber das gehe offenbar auf Kosten der Sicherheit.

In der Ladesäule sieht er nur eine „glorifzierte Drehstomsteckdose“, auf der man sogar mit einem Autosimulator Strom für andere Zwecke beziehen kann. MIt einem solchen Simulator sah er sich diverse Ladesäulen und ihre Backend-Kommunikation näher an. Diese erfolgt zumeist über das „Open Charge Point Protocol“ (OCPP), um etwa den Ladevorgang freizuschalten.

Da die eingesetzten NFC-Karten ebenso wie das Protokoll selbst schwerwiegende Mängel aufweisen, ist es aber mit mäßigem Aufwand möglich, Strom auf fremde Kosten zu beziehen, warnte Dalheimer auf dem Hackerkongress. Umgekehrt könnten böswillige Betreiber von Ladesäulen einzelne Ladevorgänge protokollieren und später zusätzliche Umsätze für sich generieren, indem sie weitere Ladevorgänge simulieren.

Da die Stromtankstellen teilweise an das Internet angeschlossen sind, können diese laut Dalheimer sogar ferngesteuert werden. Aus der Ferne sei es etwa möglich, einen laufenden Ladevorgang abzubrechen. Mit direktem Zugriff auf eine Ladestation lasse sie sich darüber hinaus beliebig neu konfigurieren. Ausgelesene Daten erlaubten, Ladekarten für betrügerische Zwecke zu klonen. Nur wenige Schrauben seien zu lösen, um einen USB-Stick anzuschließen und an Zugangsdaten zu gelangen.

In seinem 34C3-Vortrag erklärte Mathias Dalheimer, wie die Abrechnungssysteme funktionieren. Verschiedene mögliche Angriffe zeigte er mit Proof-of-Concept-Implementationen auf. Seiner Einschätzung nach sind die Ladekarten so unsicher, dass von ihrer Nutzung derzeit abzuraten ist.

„Die Anbieter haben grundlegende Sicherheitsmechanismen nicht umgesetzt“, zitiert die Deutsche Welle den Experten vom Fraunhofer-Institut für Techno- und Wirtschaftsmathematik ITWM in Kaiserslautern. „Das ist, als ob ich mit einer Fotokopie meiner Girokarte im Supermarkt bezahlen würde – und der Kassierer das akzeptiert.“

Bernd Kling

Recent Posts

Logitech: Designed for Mac

Logitech startet eine Produktreihe von Mäusen und Tastaturen, die speziell für Apple-Rechner ausgelegt sind unter…

3 Stunden ago

Microsoft Ignite: Spotlight on Germany

Die Microsoft Konferenz Ignite findet in diesem Jahr vom 12. bis 14. Oktober 2022 statt.…

4 Stunden ago

Open Source Initiative weitet ihre Rolle aus

In den letzten 20 Jahren war die Open Source Initiative (OSI) die Hüterin der Open-Source-Lizenzen.…

4 Stunden ago

Intel stellt sich neu auf

Der Chiphersteller Intel setzt seinen Fokus auf neue KI-/ML-Anwendungen, weltweit verteilte Fabriken und eine überarbeitete…

5 Stunden ago

Serverausfall führt zu Insolvenz

Unternehmen sind durch Ausfälle verwundbar. Hybride Infrastrukturen machen den früheren Anker Rechenzentrum überflüssig, betont Andreas…

22 Stunden ago

SSD fördert Green IT

Ökologische Fragen, Lieferkettenprobleme und Energiekosten erfordern Green IT. Bei Storage gibt es Möglichkeiten zum Energiesparen,…

22 Stunden ago