Datenleck: Meldepflichtig oder nicht?

Wir haben bei den Datenschutzbehörden in Bayern, Berlin und Nordrhein-Westfalen, dem Sitz von Smartlab, nachgefragt. Dabei antworten uns die Datenschutzbehörden einhellig, dass es sich bei den UIDs der Ladekarten um personenbezogene Daten nach der Datenschutzgrundverordnung handelt.

Ähnlich wie IP-Adressen können mit den UIDs zumindest bei den herausgebenden Unternehmen Personen identifiziert werden. Berlin und NRW weisen darauf hin, dass unter bestimmten Bedingungen mit den an Ladesäulen einsehbaren UIDs auch das Bilden eines Bewegungsprofils möglich sei. Zudem bestehe das Risiko, dass die Karten geklont werden.

Auf unsere allgemeine Anfrage zur Meldepflicht betonen alle drei Behörden, dass es auf den konkreten Sachverhalt und die damit verbundene Risikoabschätzung ankomme. Sowohl Berlin als auch Bayern gehen jedoch von einer Meldepflicht zumindest bei der Datenschutzbehörde aus. Eine solche muss nach der Datenschutzgrundverordnung innerhalb von 72 Stunden nach Bekanntwerden eines Vorfalles erfolgen.

Ob auch die Betroffenen informiert werden müssen, hängt ebenfalls von der Einschätzung des Risikos ab. In Berlin schätzt man dieses als hoch ein, schon allein aufgrund der Möglichkeit, die Karten zu klonen, und dem damit einhergehenden Missbrauchspotential. Entsprechend müssten die Betroffenen von den Kartenherausgebern informiert und gegebenenfalls die Karten gesperrt werden.

Damit konfrontiert erklärt Smartlab, dass das Unternehmen nur Auftragsverarbeiter und daher nicht die meldepflichtige Stelle sei. "Das Stadtwerk hat hierfür einen externen Datenschutzrat eingeholt, in dessen Details wir nicht eingeweiht wurden", erklärt Smartlab. "Ob das Stadtwerk den Landesdatenschutzbeauftragten in Kenntnis gesetzt hat, ist uns nicht bekannt." Auf eine Nachfrage von Golem.de hatten die Stadtwerke Bad Reichenhall nicht geantwortet.

"Wir schätzen weiterhin das Risiko für die Endkunden als gering ein, da Ladevorgänge, die mit einer geklonten UID durchgeführt werden, bei der Abrechnung beanstandet werden können und ein Missbrauch daher schnell offengelegt würde", betont Smartlab.

Ein schlechtes Passwort für das Ladenetz

Auch zu dem von Reiser in der Weboberfläche der Ladesäule entdeckten Passwort äußert sich Smartlab. Die OCPP-Zugangsdaten verbinden die Ladesäule mit einer Tochterfirma der Smartlab mbH, über die das Roaming abgewickelt wird, damit Ladekarten verschiedener Anbieter an der Ladesäule der Bad Reichenhaller Stadtwerke verwendet werden können.

Der Benutzername war dabei denkbar einfach zu erraten und auch beim Passwort handelte es sich um eine einfache Phrase in Leetspeak, die um Informationen der Ladesäule ergänzt wurden. "Ob sich neben den Logindaten der betroffenen Ladesäule auch andere Zugangsdaten ableiten lassen, wurde geprüft und die entsprechenden Daten wurden beziehungsweise werden geändert", versichert Smartlab.

Unabhängig von dem Vorfall habe man eine interne Analyse möglicher Angriffsszenarien durch kompromittierter OCPP-Zugangsdaten durchgeführt und weitere nachgelagerte Sicherheitsmaßnahmen ergriffen, die viele Angriffsszenarien erschweren oder verhindern würden, teilt das Unternehmen mit.

Sicherheitslücken und Melder werden ernst genommen

Nach (seltenen) Schauergeschichten aus den vergangenen Jahren, bei denen Sicherheitsforscher angezeigt oder gar mit einem Privatdetektiv bedroht wurden, ist Reiser auf jeden Fall zufrieden. Die Stadtwerke Bad Reichenhall haben seine Meldung ernst genommen, sich bedankt und das Problem schnell beseitigt. Nur der Umgang mit den UIDs und die Sicherheit in der E-Ladeinfrastruktur macht Reiser weiter Sorgen.

Dabei stehen im Prinzip bereits sicherere Authentifizierungsmedien zur Verfügung. An deren Einführung arbeite Smartlab gemeinsam mit anderen Marktakteuren bereits, betont das Unternehmen. Allerdings sei eine breite Akzeptanz der sicheren Authentifikationsmedien wie PKI-basierte Plug-&-Charge-Zertifikate im Markt aufgrund verschiedener Einschränkungen bei Fahrzeugen und Ladesäulen aktuell nicht erreicht.

So bleibt das europäische Ladenetz auch ohne ungeschützte Ladesäulen im Internet erstmal vor allem eins: unsicher.