Infrastruktur von Ladestationen nicht sicher

Werbung

Das Thema IT-Sicherheit hat offensichtlich bei Herstellern von Ladestationen bisher wenig Priorität. Wie leicht sich Karten und RFID-Chips kopieren lassen und die eingesetzte Software sich manipulieren läßt, zeigte Mathias Dalheimer in dem Vortrag Ladeinfrastruktur für Elektroautos: Ausbau statt Sicherheit während des Chaos Communication Congress Ende Dezember 2017 in Leipzig. Mathias Dahlheimer ist hauptberuflich Mitarbeiter des Fraunhofer-Instituts für Techno- und Wirtschaftsmathematik (ITWM) in Kaiserslautern.

Besonders interessant ist der unter obigem Link aufgezeichnete Vortrag von Minute 15:00 bis 39:30. Ergänzende Informationen bietet die Webseite von Mathias Dalheimer.

Das Thema IT-Sicherheit spielt bei der Infrastruktur von Ladestationen bislang eine sehr geringe Rolle. Wie leicht sich Karten klonen und Ladesäulen hacken lassen, zeigte der Referent in seinem Vortrag.

Für seine Tests nutzte er zwei Ladestationen des deutschen Anbieters Hager und des österreichischen Anbieters Keba.

Strom Tanken und das Abrechnen erfolgt ausschließlich über eine maximal 20 Zeichen lange Zeichenkette. Die dazu benutzten Medien zur Identifikation besitzen keine verschlüsselte Signatur und Authentifizierung für den rechtmäßigen Nutzer.

Die gezeigten Ladestationen lassen es auch zu, dass die Firmware der Ladestationen nach Entfernung von einigen Schrauben mittels Daten auf einem USB-Stick manipuliert werden kann. Möglich ist auch das Auslesen von bisher im System gespeicherten Kunden-IDs.

Die Übertragung der Daten, nicht nur von den genannten Ladestationen, an einen Server zur Abrechnung des Providers werden nicht verschlüsselt übertragen (http) und sind dadurch auch manipulierbar.

Fazit keine ausreichende Sicherheit bei Ladestationen

Momentan sind Ladekarten und Abrechnungsprotokolle leider unsicher. Viele Ladestationen sind trivial zu manipulieren. Offensichtlich ist das Problem Manipulationssicherheit bei der Industrie der herstellenden Ladestationen noch nicht angekommen oder es wird in der Chefetage nicht verstanden, dass Handlungsbedarf besteht. Hier geht es um Transaktionen mit Geld!

Kunden dürften bei der jetzigen ungesicherten Infrastruktur nur wenig Chancen haben, sich gegen eine unberechtigte Abbuchung zu wehren. Die komplette technische Infrastruktur muss überarbeitet werden. Das fängt bei sauberen Signaturen auf der Ladekarte und der Verschlüsselung bei der Kommunikation.


Werbung