Elektroautos: Ungeschützte Ladesäule verrät Hunderte UIDs

Die Steuerung einer Ladesäule für E-Autos in Bayern war ungeschützt im Netz. Sie verriet UIDs, mit denen sich Ladekarten klonen und auf Kosten ihrer Besitzer Autos laden lassen.

Artikel von veröffentlicht am
Die Steuerung von Ladesäulen sollte nicht ungeschützt im Internet sein.
Die Steuerung von Ladesäulen sollte nicht ungeschützt im Internet sein. (Bild: A. Krebs/Pixabay)

Der Sicherheitsforscher Silvan Reiser staunte nicht schlecht, als er eine gänzlich ungeschützte Steuerung einer Ladesäule für Elektroautos im Internet entdeckte. Dort konnten nicht nur verschiedenste Einstellungen von jedem Internetnutzer verändert, sondern auch mehrere Hundert UIDs der an der Ladesäule verwendeten Ladekarten eingesehen werden.

Inhalt:
  1. Elektroautos: Ungeschützte Ladesäule verrät Hunderte UIDs
  2. Datenleck: Meldepflichtig oder nicht?

Mit diesen Nummern lassen sich die Ladekarten klonen und so auf Kosten ihres Eigentümers E-Autos laden. Zudem handelt es sich bei den UIDs um personenbezogene Daten, mit denen beispielsweise ein Bewegungsprofil erstellt werden könnte. Auch ein recht triviales Passwort, das für die Anbindung an das Ladenetz verwendet wird, fand Reiser im Backend vor.

Zunächst galt es herauszufinden, wo die Ladestation überhaupt steht. Schwer war das aber nicht: In der Weboberfläche der Ladesäule war auch die Electric Vehicle Supply Equipment ID (EVSE-ID) vermerkt. Mit dieser eindeutigen ID konnte Reiser schnell herausfinden, dass es sich um eine Doppelladesäule in der bayerischen Kreisstadt Bad Reichenhall handelt.

Sie wird von den Stadtwerken Bad Reichenhall in Verbindung mit dem Roaming-Partner Ladenetz.de der Smartlab mbH betrieben. Smartlab sorgt dafür, dass mit den Ladekarten verschiedener Anbieter geladen werden kann. Reiser meldete die Sicherheitslücke an beide Betreiber, erhielt aber nur von den Stadtwerken Bad Reichenhall eine Antwort. Sie bedankten sich und nahmen die Ladesäule umgehend aus dem Netz. Auf die Nachfrage, was nun mit den betroffenen UIDs passiere, erhielt er jedoch keine Antwort mehr.

Hundertmal kostenlos laden, bitte

Dabei ist diese Frage der Knackpunkt: Immerhin konnten auch andere die ungeschützte Ladesäule entdecken, die UIDs auslesen und mit geklonten Karten laden. Wie einfach das geht, hat Reiser selbst mit seiner Ladekarte getestet.

Mit seinem Flipper Zero, einem Gerät, das etliche Funktionen von Hacking-Devices vereint und von Sicherheitsforschern vielfältig genutzt werden kann, las er seine Ladekarte aus und klonte sie auf das Gerät. Dabei simulierte er verschiedene Ladekartentypen und konnte an etlichen Ladesäulen mit dem Gerät sein E-Auto laden.

Neben der Frage nach dem Umgang mit den UIDs bleibt auch offen, wie viele überhaupt betroffen sind und seit wann das Datenleck besteht. Einsehen konnte der Sicherheitsforscher nämlich nur die Logs – also, wann mit welcher UID geladen wurde – seit dem letzten Neustart der Ladesäule.

Fehlkonfiguration führt zu Datenleck

Auf Nachfrage von Golem.de erklärt Smartlab, dass die Sicherheitslücke wohl auf eine Fehlkonfiguration durch einen Subunternehmer des Ladesäulenherstellers zurückzuführen sei. Dabei sei ab dem 1. Juli 2022 die Verbindung zum Backend über das falsche Netzwerk hergestellt worden, was zu der Sicherheitslücke geführt habe. "Für den Fall, dass die Sicherheitslücke von Tag 0 ausgenutzt wurde und alle Logs abgerufen werden konnten, sind bis zu 372 [individuelle] UIDs betroffen", erklärt Smartlab.

Zum Umgang mit den UIDs teilte uns Smartlab mit: "Die potenziell betroffenen UIDs werden auf auffälliges Ladeverhalten innerhalb unseres Netzwerkes überprüft." Darüber hinaus stehe man im Austausch mit den E-Mobilitäts-Providern (EMP).

Alle weiteren Schritte wie das Informieren der Endkunden über den Vorfall sowie eine Sperre der betroffenen Karten liege jedoch im Ermessen der Kartenausgeber, betont Smartlab. Die UIDs seien ohnehin "technische Informationen", mit denen allein aus der Ladesäule keine Kundenzuordnung vorgenommen werden könne.

"Eine Meldung an den Landesdatenschutzbeauftragten hat nicht stattgefunden, da es sich bei den einsehbaren Daten wie oben bereits erläutert nicht um personenbezogene Daten handelt", erklärt Smartlab. Das sehen auf Nachfrage von Golem.de jedoch mehrere Datenschutzbehörden anders.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Datenleck: Meldepflichtig oder nicht? 
  1. 1
  2. 2
  3.  
Verwandte Artikel
artikel-bild
Nach gemeldetem Datenleck
Softwareentwickler durch Privatdetektiv bedroht
artikel-bild
Responsible Disclosure
Obi macht das Melden einer Sicherheitslücke schwer
artikel-bild
Hack
Interne Daten von Acer werden in Untergrundforum gehandelt
Meistgelesen
artikel-bild
O.MG Cable im Test
Außen USB-Kabel, innen Hackertool
artikel-bild
Wissenschaft
Wer soll an den Lithium-Luft-Akku glauben?
artikel-bild
Shopping
Amazon gibt Hinweis bei häufig zurückgeschickten Produkten
Kommentarübersicht
Re: Ladekartenwahnsinn abschaffen
AvailableLight 10. Mär 2023 / Themenstart

Dito, mit dem Unterschied dass mir das in zwei Jahren noch nie passiert ist.

Re: Das öffentliche Ladenetz ist und bleibt eine...
AvailableLight 10. Mär 2023 / Themenstart

Ich sehe auch noch viel Aufholbedarf in der Infrastrukur. War das denn ein Mietwagen und...

15118 PKI hilft auch nichts...
ahzf_ 10. Mär 2023 / Themenstart

In der E-Mobilität werden RFID-Karten falsch verwendet, da nur die UID der Karten...

Re: Das Problem liegt in der Spezifikation
BlindSeer 10. Mär 2023 / Themenstart

Es war einfach und billig und hat gereicht für Kundenketten.

Kommentieren

Aktuell auf der Startseite von Golem.de
O.MG Cable im Test
Außen USB-Kabel, innen Hackertool

Das O.MG Cable kommt wie ein Standard-USB-Kabel daher. Dass es auch ein Hackertool ist, mit dem sich gruselige Dinge anstellen lassen, sieht man ihm nicht an. Obendrein ist es auch noch leicht zu bedienen.
Ein Test von Moritz Tremmel

O.MG Cable im Test: Außen USB-Kabel, innen Hackertool
Artikel
  1. Interactive Display: Samsung präsentiert digitales Whiteboard mit Android
    Interactive Display
    Samsung präsentiert digitales Whiteboard mit Android

    Samsungs Interactive Display ist für Schulen gedacht, nutzt Android als Betriebssystem und kann mit den Fingern oder einem Stift verwendet werden.

  2. H26Forge: Mehrheit der Video-Decoder wohl systematisch angreifbar
    H26Forge
    Mehrheit der Video-Decoder wohl systematisch angreifbar

    Immer wieder sorgen Bugs in Video-Decodern für Sicherheitslücken bis hin zu Zero Days. Wissenschaftler zeigen nun eine riesige Angriffsfläche.

  3. Stormbreaker: Smarte Gleitbombe priorisiert Ziele
    Stormbreaker
    Smarte Gleitbombe priorisiert Ziele

    Raytheon hat einen Millionenauftrag zur Herstellung von 1.500 computergesteuerten Gleitbomben des Typs Stormbreaker für die US-Luftwaffe erhalten.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Nur noch heute: Amazon Frühlingsangebote • MindStar: MSI RTX 4080 1.249€, Powercolor RX 7900 XTX OC 999€ • Fernseher Samsung & Co. bis -43% • Monitore bis -50% • Bosch Prof. bis -59% • Windows Week • Logitech bis -49% • Alexa-Sale bei Amazon • 3 Spiele kaufen, 2 zahlen [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /