Auf fremde Rechnung tanken: Sicherheitslücken bei Stromladesäulen

Aktuell wird viel darüber diskutiert, dass Ladesäulen für die wachsende Anzahl an E-Autos geschaffen werden müssen. Wie ein Sicherheitsforscher jetzt aufzeigt, wurden bei der bisher errichteten Infrastruktur aber schon grundlegende Sicherheitsfehler gemacht.

Einfach mal auf die Rechnung eines anderen tanken

Der Umstieg auf E-Autos soll sich zwar eindeutig auch bei der Rechnung für das Auftanken bemerkbar machen, Zahlen müssen die E-Autofahrer aber trotzdem für ihren Treibstoff. Dabei haben sich aktuell in Deutschland für die Abrechnung verschiedene Systeme mit Ladekarten etabliert, die laut der Kritik des Sicherheitsforschers Mathias Dalheimer allesamt große Sicherheitslücken aufweisen und so die Möglichkeit für Betrug eröffnen.


Wie Dalheimer laut dem Bericht von heise in seinem Vortrag bei dem 34. Chaos Communication Congress ausführt, haben sich die meisten Anbieter öffentlicher Ladesäulen nicht um den Aufbau von wichtigen Sicherheitsmechanismen gekümmert. "Wären die Lücken an der Kasse im Supermarkt genauso groß wie an den E-Zapfsäulen, könnte man dort "mit einer Fotokopie einer Girokarte bezahlen und das ginge durch", so Dalheimer zum Ausmaß des Problems.

Nach Meinung des Sicherheitsforschers sind aktuell "Ladekarten und Abrechnungsprotokolle" als unsicher einzustufen, da Ladesysteme "trivial zu manipulieren" seien. Dalheimer ist der Ansicht, dass das Problem wegen der unzureichenden Authentisierungsverfahren, die bei allen Berührungspunkten mit der Infrastruktur zum Aufladen von E-Autos zum Tragen kommt.

Veraltetes Protokoll und alte Karten machen den Stromklau zum IT-Kinderspiel

Wie Dalheimer zu den technischen Hintergründen ausführt, werde an den mehr als 11.000 hierzulande verfügbaren öffentlichen E-Zapfsäulen in der Regel das Open Charge Point Protocol (OCPP) in Version 1.5 von 2012 als Abrechnungslösung eingesetzt. Dessen Spezifikation zeigen ganz klar, dass hier nur unzureichende Authentifizierungsmechanismen zur Verfügung stehen.

Darüber hinaus würden viele Anbieter Nahfunk-Karten mit "Mifare Classic"-Chips einsetzen, deren Krypto-Implementierung wegen großer Sicherheitsmängel schon vor rund 10 Jahren in die Kritik geraten war. Dalheimer betont, dass diese und weitere gravierende Schwächen nach seiner Kenntnis in allen bekannten Ladekartensystemen auftreten.


Elektromobilität, Ladesäule, Stromtankstelle Wikimedia Commons