Ladestationen im Visier von Hackern

Die Zahl der zugelassenen Elektroautos steigt weltweit. Damit sich die neue Technologie aber noch weiter durchsetzen kann, ist ein verlässliches, flächendeckendes Netz an Ladestationen nötig, welches zwar noch in den Kinderschuhen steckt, aber stetig weiterwächst. Auch Hacker beobachten die Entwicklungen auf dem Markt für Elektrofahrzeuge genau, immer auf der Suche nach potenziellen Schwachstellen, die sie für ihre Zwecke ausnutzen können.

Angaben des israelischen Ladesäulenanbieters SaiFlow zufolge, haben Kriminelle einen Weg gefunden, die Ladeinfrastruktur anzugreifen, indem sie Schwachstellen in unterschiedlichen Versionen von OCPP (Open Charge Point Protocol) ausnutzen, die per WebSocket kommunizieren. Dabei kombinieren sie dem Bericht nach zwei neue Schwachstellen des OCPP, um Ladestationen aus der Ferne abzuschalten. Außerdem können sie diese manipulieren, um Elektrofahrzeuge kostenlos zu laden. Dazu müssen Angreifer zunächst die Identität des Ladegeräts und dann Informationen über die CSMS-Plattform (Charging System Management Service) erhalten, mit der das Ladegerät verbunden ist.

Eine der Schwachstellen betrifft dabei die Kommunikation zwischen dem CSMS und dem OCPP des Ladepunkts. Normalerweise ermöglicht diese Verbindung dem Anbieter, die Stabilität der Infrastruktur, das Energiemanagement, die Abwicklung von Abrechnungen und EV-Ladeanfragen zu überwachen. Allerdings kann das verwendete Protokoll nur jeweils eine Verbindung zu einem Ladepunkt parallel verarbeiten. Wenn die Kriminellen also einen weiteren Kommunikationskanal für diesen Ladepunkt öffnen, wird die ursprüngliche Verbindung zum Anbieter geschlossen oder funktionsunfähig. Die zweite Schwachstelle hängt mit der schwachen OCPP-Authentifizierung und den Identitätsrichtlinien der Ladegeräte zusammen.

Mit anderen Worten: Der Angreifer kann die Verbindung zwischen dem Ladegerät und dem Anbieter kappen und übernehmen. Dadurch hat er nicht nur die Möglichkeit, die Ladesäule komplett abzuschalten, sondern kann auch Strom stehlen und sich – für die Kunden gefährlich – Zugriff auf die Systeme eines angeschlossenen Fahrzeugs verschaffen. Dazu zählen beispielsweise Batteriemanagementsysteme, Smart Meter, andere Energiemanager und sogar weitere Energieressourcen.

Im Bericht von SaiFlow wird außerdem darauf hingewiesen, dass ein Angreifer, der beide Sicherheitslücken für einen DoS-Angriff ausnutzt, auf vertrauliche Informationen wie Anmelde- oder Kreditkartendaten zugreifen könnte. Oder er könnte einen DDoS-Angriff ausführen und alle mit diesem Netzwerk verbundenen Ladegeräte ausschalten bzw. trennen.

Die gute Nachricht ist, dass ein Sicherheitsupdate, das die beiden Schwachstellen schließt, bereits verfügbar ist. Doch leider reagiert die Branche bislang eher schleppend und so sind weiterhin viele Ladestationen von der Gefahr eines Angriffs betroffen.

Über die 8com GmbH & Co. KG

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach. Verschiedene Penetrationstests und Security-Awareness-Leistungen runden das Angebot ab.

8com gehört zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 18 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.

Firmenkontakt und Herausgeber der Meldung:

8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de

Ansprechpartner:
Felicitas Kraus
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Julia Olmscheid
Head of Communications
Telefon: +49 6321 484460
E-Mail: redaktion@8com.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel