Original-URL des Artikels: https://www.golem.de/news/elektromobilitaet-so-leicht-lassen-sich-ladestationen-und-karten-hacken-1712-131869.html    Veröffentlicht: 27.12.2017 16:09    Kurz-URL: https://glm.io/131869

Elektromobilität

So leicht lassen sich Ladestationen und Ladekarten hacken

Das Thema IT-Sicherheit spielt bei der Infrastruktur von Ladestationen bislang eine sehr geringe Rolle. Wie leicht sich Karten klonen und Ladesäulen hacken lassen, zeigte ein Sicherheitsexperte auf dem diesjährigen Chaos Communication Congress.

Das Laden von Elektroautos hat bekanntlich seine Tücken. Zu den bekannten Problemen mit den unterschiedlichen Systemen von Ladesäulen und Kartenanbietern kommt nun noch ein weiteres hinzu: Die Kartenchips und Übertragungsprotokolle seien teilweise völlig ungeschützt, sagte Mathias Dalheimer am Mittwoch auf dem 34. Chaos Communication Congress (34C3) in Leipzig. Mit Hilfe einer geklonten RFID-Karte und einer erratenen oder gehackten Nutzer-ID könne auf Kosten anderer Nutzer Strom getankt werden. Auch die Ladestationen selbst ließen sich mit Hilfe von USB-Sticks hacken.

Dalheimer stieß auf die Sicherheitsprobleme bei der Analayse des sogenannten Open Charge Point Protocol (OCPP), das die Kommunikation zwischen Ladesäule und Ladenetzbetreiber regelt. So sehe die Version 1.5 des Protokolls lediglich vor, dass zum Start eines Ladevorgangs die 20-stellige Karten-ID unverschlüsselt übertragen werden muss. Eine weitere Authentifizierung sei nicht vorgesehen.

IDs lassen sich sogar erraten

Laut Dalheimer, hauptberuflich Mitarbeiter des Fraunhofer-Instituts für Techno- und Wirtschaftsmathematik (ITWM) in Kaiserslautern, war es jedoch kein Problem, die im Klartext auf Karten und Tokens des Anbieters New Motion gespeicherte ID auszulesen und beispielsweise auf einen Kartensimulator wie Chamäleon Mini zu übertragen. Mit dieser simulierten Karte vom Typ NXP Mifare Classic war es demnach problemlos möglich, einen Ladevorgang zu starten, der später korrekt vom Anbieter abgerechnet wurde. Dazu müsse laut Dalheimer nicht einmal die ohnehin defekte Verschlüsselung der Mifare Classic geknackt werden.



Das bedeutet: Betrüger müssten lediglich an die ID eines anderen Kartenbesitzers gelangen, um auf dessen Kosten Strom an einer Ladesäule tanken zu können. Nach Ansicht Dalheimers lässt sich eine solche ID möglicherweise erraten. Dazu könnten schon 100 Versuche ausreichend sein, wie er in seiner Anleitung beschreibt. Mit einem gewissen Aufwand könnte sie jedoch auch aus einer Ladestation kopiert werden.

Unverschlüsselter Datenverkehr

Dazu schraubte Dalheimer zwei Ladestationen des deutschen Anbieters Hager und des österreichischen Anbieters Keba auseinander. Auf den Platinen der Steuerungselektronik befinden sich jeweils USB-Buchsen, die für Servicezwecke beispielsweise ein Software-Update ermöglichen. Auf diese Weise ließen sich auch Bash-Skripte installieren, mit denen Kartennummern ausgelesen werden könnten. So ließe sich eine Ladestation in zwei Minuten auslesen. Beim Modell von Hager müssten dazu nur zwei Schrauben gelöst werden.

Zudem ließen sich die Kartennummern ermitteln, indem der Datenverkehr zwischen Ladesäule und Backend mitgeschnitten wird. "Bei den mir bekannten Ladestationen (allesamt von großen Herstellern und preislich nicht im unteren Segment angesiedelt) ist die Verschlüsselung des HTTP-Datenverkehrs optional und lässt sich leicht umgehen. Ab Werk kommunizieren die Ladestationen allesamt unverschlüsselt", heißt es in der entsprechenden Anleitung.

Hersteller stellen sich taub

Zudem sei es ihm gelungen, mit einfachen, selbst generierten Zertifikaten einer Ladestation ein "offizielles" Backend vorzugaukeln. Die Ladestationen prüften also nicht, ob ein Backend-Zertifikat wirklich zum richtigen Backend gehört. Damit seien Man-in-the-Middle-Angriffe trivial möglich.

Nach Ansicht Dalheimers können unter Ausnutzung der bekannten Sicherheitslücken nicht nur Elektroautobesitzer das System missbrauchen. Auch Ladesäulenbetreiber könnten beispielsweise Ladevorgänge fingieren und abrechnen lassen. Der Elektroautofahrer würde die gefakten Ladevorgänge erst Wochen später auf seiner Abrechnung feststellen und müsste sie anschließend reklamieren.

Noch kein Betrug bekanntgeworden

Was Dalheimer besonders verwunderte: Bei den Herstellern stieß er mit seinen Hinweisen auf taube Ohren. Er sei lediglich bis in den Kundensupport vorgestoßen. New Motion twitterte nach der ersten Veröffentlichung von Dalheimers Ergebnissen Anfang November 2017: "Wir nehmen die Sicherheit Ihrer Ladekarte und Ihrer Daten sehr ernst. Es ist sehr einfach, einen Betrug aufzudecken." Das 100-prozentige Tochterunternehmen von Shell schreibt auf seiner Webseite weiter: "Obwohl es theoretisch möglich ist, eine Ladekarte zu kopieren, ist uns bisher kein einziger Fall von Kartenbetrug bekannt. Das liegt vermutlich auch daran, dass ein Betrug sehr einfach aufgedeckt werden kann und sich für den Betrüger wegen der niedrigen Ladekosten kaum lohnt."

New Motion kann demnach beispielsweise feststellen, ob eine Ladekarte gleichzeitig an mehreren Säulen genutzt wird, und die Karte dann sperren. Zudem könnten Nutzer ihre App so einstellen, dass sie eine Nachricht auf ihr Smartphone erhalten, wenn ein Ladevorgang gestartet wird. Ebenfalls bestehe die Möglichkeit, Ladevorgänge lediglich per App und nicht per Karte oder Token zu starten.

CCC fordert sichere Systeme

Letzteres ist jedoch nicht bei jeder Ladesäule möglich. So lassen sich in Berlin beispielsweise Ladesäulen von Be emobil nicht per App starten, Golem.de nutzte dazu einen RFID-Chip des Anbieters Plugsurfing. In diesem Fall gibt es keine zusätzliche Autorisierung, wenn der Chip an die Ladesäule gehalten wird.

Dalheimer befürchtet, dass mit der zunehmenden Verbreitung von Elektromobilität auch mehr Missbrauchsfälle auftreten könnten. "Ich möchte der Ladeinfrastruktur vertrauen können", sagte der Hacker am Ende seines Vortrags und fügte hinzu: "Da muss etwas Besseres her!"

So lukrativ wie der Missbrauch von Kredit- oder EC-Karten dürfte das Klonen von Ladekarten jedoch nicht sein. Sollte der Aufwand aber tatsächlich so gering sein, ist es vermutlich nur eine Frage der Zeit, bis Listen von Karten-IDs oder geklonte Karten im Internet gehandelt werden. Dann könnte die Unsicherheit von Systemen für die Anbieter doch noch zu einer weiteren Hürde für die Elektromobilität werden. Neben der Reichweitenangst kommt dann die Abrechnungsangst dazu.  (fg)


Verwandte Artikel:
BSI-Richtlinie: CCC und OpenWRT kritisieren Router-TR als "Farce"   
(19.11.2018, https://glm.io/137796 )
Elektromobilität: Google Maps zeigt mehr Infos zu Ladestationen an   
(17.10.2018, https://glm.io/137167 )
Elektroautos: Mehr Schnellladesäulen an Autobahnen aufgestellt   
(08.10.2018, https://glm.io/136989 )
BSI-Richtlinie: Routerhersteller müssen Support-Ende nicht auf Gerät drucken   
(16.11.2018, https://glm.io/137119 )
BSI-Lagebericht: Die bösen Hacker und das fliegende Einhorn   
(11.10.2018, https://glm.io/137075 )

© 1997–2019 Golem.de, https://www.golem.de/