Auf dem 34. Chaos Communication Congress haben die Experten von Chaos Computer Club vor Unsicherheiten bei der Nutzung von Ladesäulen von Elektroautos und der Abrechnung gewarnt. Vor allem die Nutzung von Ladekarten ist nicht ganz unproblematisch.
Der Chaos Computer Club (CCC) fordert mehr Sicherheit in den Ladesäulen von Elektroautos. Diese sollten endlich auf den Stand der Technik gebracht werden. Zudem sollten Ladenetzbetreiber ihren Kunden sichere Bezahlmöglichkeiten bieten. Die Abrechnungsdaten sollten nicht innerhalb eines Ladeverbundes, sondern auch beim Roaming, also dem Laden des Autos bei einem anderen Netzbetreiber und Anbieter, geschützt werden.
Die Computerexperten haben festgestellt, dass es um die Sicherheit von Ladesäulen schlecht bestellt ist. So sei es sehr einfach, Strom auf fremde Rechnungen zu tanken, weil die bequem zu nutzenden Ladekarten üppige Lücken bei der Datensicherheit aufweisen. Praktisch alle Ladekarten seien von diesem Problem betroffen und die Ladenetzbetreiber, die diese Karten ausgeben, weigerten sich, die Schwachstellen zu beheben. „Die Anbieter haben grundlegende Sicherheitsmechanismen nicht umgesetzt“, sagt CCC-Mitglied Mathias Dalheimer.
Abrechnung kontrollieren
Um zu zeigen, wie einfach es ist, an die Daten anderer Nutzer zu kommen und auf deren Rechnung Strom zu tanken, hat er zusammen mit anderen Mitgliedern des CCC auf dem 34. Chaos Communication Congress Ladesäulen gehackt. So werden die Konfigurationen der meisten Ladestationen über einen USB-Stick geändert. So werden auf Firmwareupdates aufgespielt. Durch einen unsicheren Updatemechanismus kann ein beliebiger Code in die Ladestation eingeschleust werden. Darüber könnten Angreifer beispielsweise alle Ladevorgänge gratis machen oder aber wiederum die Kartennummern ernten und so Ladekartenkunden schädigen, warnen die Mitglieder des CCC. Deshalb sollten die Nutzer unbedingt zeitnah ihre Abrechnungen kontrollieren, um eventuelle Hackerangriffe schnell zu erkennen.
Zudem ist die auf den Ladekarten gespeicherte Nummer gespeicherte Nummer komplett öffentlich. Mit dieser Nummer wird wiederum der Nutzer von der Ladesäule erkannt. Dadurch kann die Nummer beliebig kopiert werden und man kann recht leicht eine Ladekarte klonen. „Das ist, als ob ich mit einer Fotokopie meiner Girokarte im Supermarkt bezahlen würde – und der Kassierer das akzeptiert“, beschreibt Dalheimer das Risiko.
Unsichere Kommunikation
Die Computerexperten kritisieren auch die unsichere Kommunikation zwischen den Ladesäulen und der Abrechnungszentrale. „Die Kartennummer wird auch hier – oft sogar ohne jegliche Verschlüsselung – direkt an den Anbieter übermittelt“, kritisieren die Computerexperten. „Mit geringem technischen Aufwand kann man diese Kommunikation abfangen und so die Kartennummern von Kunden ernten.“ Damit könne auch so relativ einfach eine Ladekarten gefälscht oder, was in der Praxis noch einfacher ist, gegenüber dem Ladenetzbetreiber Ladevorgänge simuliert werden. Damit kann ein Ladesäulenbetreiber seinen Umsatz sehr einfach in die Höhe treiben. Die ersten Ladesäulenbetreiber haben bereits auf die Kritik reagiert und Besserung angekündigt. (su)