Vor unsicherer Ladeinfrastruktur für Elektroautos warnt der Chaos Computer Club (CCC). Wie die Hackervereinigung in einer Mitteilung schreibt, liege dies nicht nur an den Ladestationen selbst sondern auch an der Kommunikation zwischen den Ladesäulen und dem Abrechnungs-Backend und den Ladekarten. Diese seien so unsicher, dass von der Nutzung derzeit abzuraten sei.
Die Ladesäulen bieten zumeist einen Drehstromanschluss, über den die notwendigen Ladeleistungen erreicht werden. Im öffentlichen Raum werden Ladevorgänge von den Anbietern unter anderem über Ladekarten abgerechnet. Auf den Ladekarten ist eine Nummer gespeichert, anhand derer die Ladestation den Nutzer identifiziert. Leider sei diese Nummer komplett öffentlich und könne beliebig kopiert werden, so der Chaos Computer Club. Damit könne man recht leicht eine Ladekarte klonen, und es sei sehr einfach möglich, Strom auf fremde Rechnung zu laden. „Die Anbieter haben grundlegende Sicherheitsmechanismen nicht umgesetzt“, erklärte CCC-Mitglied Mathias Dalheimer: „Das ist, als ob ich mit einer Fotokopie meiner Girokarte im Supermarkt bezahlen würde – und der Kassierer das akzeptiert.“
Kommunikation zwischen Ladesäulen und Abrechnungs-Backend „schlecht geschützt“
Auch die Kommunikation zwischen den Ladesäulen und dem Abrechnungs-Backend sei schlecht geschützt: Die Kartennummer werde auch hier – oft sogar ohne jegliche Verschlüsselung – direkt an den Anbieter übermittelt. Mit geringem technischen Aufwand könne man diese Kommunikation abfangen und so die Kartennummern von Kunden ernten. Aus diesen ließen sich dann entweder Ladekarten fälschen oder – in der Praxis wohl einfacher – gegenüber dem Ladenetzbetreiber Ladevorgänge simulieren. Damit könne ein Ladesäulenbetreiber seinen Umsatz sehr einfach in die Höhe treiben.
Ladestationen selbst erklärt CCC auch für unsicher
Auch die Ladestationen selbst erklärt der CCC für unsicher. Die meisten Ladestationen erlaubten das Ändern der Konfiguration sowie Firmwareupdates über einen USB-Stick. Da der Updatemechanismus beispielsweise bei KEBA-Ladestationen unsicher sei, kann ein beliebiger Code in die Ladestation eingeschleust werden. Darüber könnten Angreifer beispielsweise alle Ladevorgänge gratis machen oder aber wiederum die Kartennummern ernten und so Ladekartenkunden schädigen.
Missbrauch „schwer nachweisbar“
Kunden dürften es nach Einschätzung der Hackervereinigung sehr schwer haben, einen Missbrauch nachzuweisen. Insbesondere beim Roaming, d.h. beim Laden an einer Ladestation eines anderen Anbieters, werde ein Ladevorgang erst viel später abgerechnet. Es könnten dabei Wochen vergehen, bis der Missbrauch einer Ladekartennummer auffalle.