Der Ausbau der Ladeinfrastruktur für die Elektromobilität zieht viele internationale Anbieter an. Doch die Vielfalt der Hersteller und ihrer Produkte sowie fehlende Leitlinien erhöhen die Risiken für Cyberangriffe und Datendiebstähle.
Cyberangriffe auf die Kommunikationsarchitektur der Ladeinfrastruktur können zu erheblichen Funktionsstörungen, Schäden und Datendiebstählen führen.
XXX
Der Ausbau der Infrastruktur für die Elektromobilität unterliegt einer hohen Marktdynamik, aus der wiederum sowohl funktionale als auch Sicherheits-Risiken entstehen. Denn beim Aufbau der Ladeinfrastruktur sind zahlreiche Komponenten verschiedenster Hersteller involviert; gleichzeitig gibt es kaum klare Leitlinien für den Aufbau eines sicheren Ökosystems. Gerade Cyberangriffe auf die Kommunikationsarchitektur der Ladeinfrastruktur können zu erheblichen Funktionsstörungen, Schäden und Datendiebstählen führen – und damit zu Reputationsschäden und hohen Folgekosten. Nicht umsonst gehören Ladestationen für die Elektromobilität mit der NIS-2-Richtlinie nun zu den kritischen Infrastrukturen, für die der Gesetzgeber strengere Sicherheitsregeln vorgesehen hat.
Viele Komponenten, viele Sicherheitslücken
Das Ökosystem Elektromobilität besteht aus den Elektrofahrzeugen, der eigentlichen Ladeinfrastruktur, der Backend-Cloud mit dem Lademanagement-System, sowie dem Energiesystem, das den Strom bereitstellt. Diese vier Bereiche umfassen jeweils eine Vielzahl an Komponenten. Wenn diese nicht reibungslos miteinander kommunizieren, funktioniert die Technik nicht und es kann zu Sicherheitslücken kommen. So ist beispielsweise die Kommunikation zwischen den Ladesäulen und dem Abrechnungs-Backend oft schlecht geschützt.
Dies liegt unter anderem daran, dass es zwar Kommunikationsstandards gibt, diese aber noch nicht universell angewendet werden. Eines der größten Risiken für jede einzelne Komponente ist jedoch die Anfälligkeit ihrer Kommunikationsarchitektur für Cyberangriffe, da die Vielfalt der inhomogenen Produkt- und Lösungslandschaft die Anzahl potenzieller Einfallstore erhöht.
Laut einer Studie des Center of Automotive Management (CAM) gehören Ladeinfrastrukturen zu den besonders gefährdeten Angriffszielen von Hackern. Cyberangriffe können sehr weitreichende (und teure!) Folgen haben: Sie können das Hauptstromnetz und die Verfügbarkeit von Ladestationen beeinträchtigen oder unsachgemäße Ladevorgänge verursachen, die eine Batterie beschädigen oder bösartigen Code an ein E-Fahrzeug weitergeben. Außerdem werden während des Ladevorgangs wichtige persönliche Informationen und Finanzdaten wie Kreditkartennummern oder Bankdaten ausgetauscht, die Ziel von Angriffen sein können.
Worauf Hersteller achten sollten ...
Die Akteure im Elektromobilitäts-Ökosystem sind den Cyberangriffen und anderen sicherheitstechnischen Herausforderungen jedoch nicht hilflos ausgeliefert. Wichtig ist für alle Beteiligten ein kontinuierliches Monitoring von Technologie- und Markt-Trends. Zudem sollten sie präventive Sicherheitsstrategien und -Maßnahmen implementieren und diese regelmäßig auf den Prüfstand stellen. Dafür sollten Hersteller speziell das Thema Cybersicherheit bereits bei der Entwicklung ihrer Produkte und Lösungen berücksichtigen. Zudem sollten Unternehmen ihre Ladeinfrastruktur-Lösungen umfassend und regelmäßig testen lassen.
Die Sicherheitsanforderungen variieren darüber hinaus auch je nach der Produktkategorie. So benötigen persönliche Mobilitätsgeräte wie E-Scooter E-Bikes spezifische Sicherheitsmaßnahmen aufgrund ihrer Nähe zu Wohngebieten und des potenziellen Risikos von Batteriebränden. Bei größeren Fahrzeugen wie E-Trucks muss gewährleistet sein, dass sie keine katastrophalen Brandereignisse verursachen.
... und was der Gesetzgeber tun kann
Der Gesetzgeber wiederum sollte darauf hinwirken, die relevanten rechtlichen Regelungen so weit wie möglich an die technische Entwicklung anzupassen. Heute enthalten vor allem der EU Cyber Resilience Act und der NIST Cybersecurity Framework Profile for EV Charging relevante Regelungen, um die Elektromobilität abzusichern. Viele haben jedoch nur empfehlenden Charakter und sind nicht verpflichtend für die Hersteller.
Verbände, aber auch Standards-Organisationen sollten deshalb technische Standards etablieren, die sich an aktuellen und zukünftigen technologischen Entwicklungen sowie der Bedrohungslage orientieren. Wichtig wäre es darüber hinaus, technische Standards zwischen den Regionen zu harmonisieren und ihre Einhaltung verpflichten zu machen. Dazu gehören auch Vorgaben für die Nutzung modernster Cybersecurity-Lösungen.
Top 5 Best Practices für ein sicheres Ökosystem
Damit Hersteller von Ladeinfrastrukturen keine bösen Überraschungen vor allem in der Testphase erleben, sollten sie ihre Produktentwicklung und ihren Markteintritte sorgfältig planen. Hier sind dazu die "Top 5" der Best Practices:
- Umfassende Produkttests: Hersteller sollten die Sicherheit und Interoperabilität ihrer Produkte und Lösungen regelmäßig umfassend testen und diese den Anforderungen der technischen Entwicklung anpassen. Eine Kontaktaufnahme zum Test- und Zertifizierungspartner sollte dabei möglichst schon in der Planungs- und nicht erst in der Design-Phase erfolgen. Nur so lassen sich teure Fehlentwicklungen und Verzögerungen beim Markteintritt vermeiden.
- Fokus auf Funktionalität und Sicherheit: Bei den Tests müssen die Funktionalität der Produkte und Lösungen ebenso wie ihre Sicherheit Berücksichtigung finden.
- Absicherung gegen Cyberangriffe: Hersteller sollten – unter anderem – durch Penetrations-Tests sicherstellen, dass ihre Lösungen Sicherheit bieten gegen Cyberangriffe.
- Vertrauen stärken durch umfassende Tests: Hersteller sind gut beraten auch Komponenten, Prozesse und Systeme zu überprüfen, für die Tests nicht verpflichtend sind und für die es noch keine klaren Richtlinien gibt. Das stärkt das Vertrauen der Verbraucher und schützt vor Reputationsschäden. So gehört auch das Thema Cybersicherheit noch nicht zum Standard – aber sicherlich zu den prioritären Sicherheitsanliegen der Branche.
- Kontinuierliches Monitoring von Markt- und Technologietrends: Hersteller – aber durchaus auch Verantwortliche in Organisationen und staatlichen Institutionen – sollten Markt- und Technologietrends kontinuierlich verfolgen und aktiv mitgestalten. Dazu gehört die künstliche Intelligenz (KI), aber auch Trends wie Vehicle-to-Grid.