Rund um Ladesäulen für Elektroautos gibt es reichlich Sicherheitsprobleme. Das hat Mathias Dalheimer, der sich schon länger mit der anfälligen Technik der Stromtankstellen beschäftigt, auf dem 34. Chaos Communication Congress (34C3) in Leipzig ausgeführt. Er hält Herstellern und Betreibern fehlende Manipulationssicherheit, ungesicherte Zahlungsprotokolle und einfach kopierbare Zahlkarten vor. Der Ausbau der Ladeinfrastruktur werde durch Fördermaßnahmen beschleunigt, aber das gehe offenbar auf Kosten der Sicherheit.
In der Ladesäule sieht er nur eine „glorifzierte Drehstomsteckdose“, auf der man sogar mit einem Autosimulator Strom für andere Zwecke beziehen kann. MIt einem solchen Simulator sah er sich diverse Ladesäulen und ihre Backend-Kommunikation näher an. Diese erfolgt zumeist über das „Open Charge Point Protocol“ (OCPP), um etwa den Ladevorgang freizuschalten.
Da die eingesetzten NFC-Karten ebenso wie das Protokoll selbst schwerwiegende Mängel aufweisen, ist es aber mit mäßigem Aufwand möglich, Strom auf fremde Kosten zu beziehen, warnte Dalheimer auf dem Hackerkongress. Umgekehrt könnten böswillige Betreiber von Ladesäulen einzelne Ladevorgänge protokollieren und später zusätzliche Umsätze für sich generieren, indem sie weitere Ladevorgänge simulieren.
Da die Stromtankstellen teilweise an das Internet angeschlossen sind, können diese laut Dalheimer sogar ferngesteuert werden. Aus der Ferne sei es etwa möglich, einen laufenden Ladevorgang abzubrechen. Mit direktem Zugriff auf eine Ladestation lasse sie sich darüber hinaus beliebig neu konfigurieren. Ausgelesene Daten erlaubten, Ladekarten für betrügerische Zwecke zu klonen. Nur wenige Schrauben seien zu lösen, um einen USB-Stick anzuschließen und an Zugangsdaten zu gelangen.
In seinem 34C3-Vortrag erklärte Mathias Dalheimer, wie die Abrechnungssysteme funktionieren. Verschiedene mögliche Angriffe zeigte er mit Proof-of-Concept-Implementationen auf. Seiner Einschätzung nach sind die Ladekarten so unsicher, dass von ihrer Nutzung derzeit abzuraten ist.
„Die Anbieter haben grundlegende Sicherheitsmechanismen nicht umgesetzt“, zitiert die Deutsche Welle den Experten vom Fraunhofer-Institut für Techno- und Wirtschaftsmathematik ITWM in Kaiserslautern. „Das ist, als ob ich mit einer Fotokopie meiner Girokarte im Supermarkt bezahlen würde – und der Kassierer das akzeptiert.“
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
