E-Ladestationen sind ein Cybersecurity-Risiko

Wer Ladestationen für Elektrofahrzeuge betreibt und nutzt, sollte sich vor Cyberkriminellen in Acht nehmen. Hacker können die Stationen manipulieren, um Benutzerdaten zu stehlen oder Fahrzeuge zu beschädigen. 

Die Ladeinfrastruktur für Elektrofahrzeuge ist sehr anfällig für Datenschutzverletzungen, finanzielle Verluste und Sicherheitsrisiken. So stehen Ladestationen und Anwendungen einer Vielzahl von Sicherheitsrisiken gegenüber – oft ohne ausreichenden Schutz, wie der Cybersecurity-Spezialist Radware erklärt. "Und wie bei jedem jungen Markt fehlt es auch hier noch an Bewusstsein und Vorschriften, um sich angemessen zu schützen", so das Unternehmen.

Um dem wachsenden Bedarf an Ladestationen gerecht zu werden und den Besitzern von E-Fahrzeugen ein nahtloses Erlebnis zu bieten, ist die Zahl der Anwendungen für E-Fahrzeug-Ladestationen exponentiell gestiegen. Es gibt Endbenutzer-Apps zum Auffinden von Ladestationen, Bezahl-Apps für das Aufladen von Akkus, Endpunkt-Apps, die den Fahrern helfen, ihren Stromverbrauch zu überwachen und zu verwalten, sowie Apps auf Unternehmensebene zur Verwaltung von Ladestationsflotten und Ladenetzen in Geschäfts- und Wohngebäuden.

Matrix von Endgeräten und Anwendungen

So komfortabel diese Ladeanwendungen auch sind: Sie bergen auch Risiken, die von Betrug bis Sabotage reichen. Böswillige Akteure können durch den Diebstahl von Geld, Strom oder persönlichen Daten unrechtmäßige Gewinne erzielen oder die Ladestation und das Fahrzeug physisch beschädigen. Denn: Die Anwendungen interagieren in der Regel untereinander und mit Diensten und Plattformen von Drittanbietern über APIs oder JavaScript-Plugins. Diese Anwendungen verarbeiten sowohl sensible, persönliche Fahrerdaten als auch Informationen über das Fahrzeug. Darüber hinaus sind sie mit einer Backend-Infrastruktur verbunden, die die Verteilung von Strom an die Endpunkt-Ladegeräte verwaltet.

Die Anwendungen, die mit Endpunkt-Ladestationen verbunden sind, sind daher für verschiedene Arten von Cyberangriffen anfällig, unter anderem Account Takeovers (ATOs; Kontoübernahmen), MITM (Man-in-the-Middle), Angriffe auf die Lieferkette, API-Missbrauch, client- und serverseitige Anfragefälschungen oder XSS (Cross-Site-Scripting). Häufige Cybersecurity-Risiken für Ladeanwendungen sind auch Malware und Viren, fehlende Verschlüsselung oder schwache Authentifizierungs-Mechanismen.

Veraltete Versionen, Vorschriften hinken hinterher

Warum sind die Ladeanwendungen aber so anfällig für Cyberkriminelle? "Eine der Sicherheits-Herausforderungen besteht darin, dass die Anwendungen, die auf den Endgeräten der Ladestationen laufen, nicht so oft aktualisiert werden, wie sie sollten", sagt Uri Dorot, Senior Security Solutions Lead bei Radware. "Infolgedessen laufen viele veraltete Versionen von Linux und JavaScript mit neuen Schwachstellen, die nicht gepatcht wurden."

Gefordert ist laut Radware auch der Gesetzgeber: Im Gegensatz zu Banken, Finanzdienstleistern und der Reise- und E-Commerce-Branche durchlaufe die Ladeindustrie noch ihre ersten regulatorischen Schritte. "Derzeit geben die Vorschriften und Standards für die Ladeindustrie – wie ISO 15118 und SAE J3061 – lediglich die Sicherheitsmaßnahmen vor, die Ladeunternehmen zum Schutz ihrer Systeme und Kundendaten vor Cyberangriffen berücksichtigen sollten", so Dorot. "Mit anderen Worten, es gibt keine Anforderungen und keine Durchsetzung, um sicherzustellen, dass bestimmte Cybersicherheits-Tools verwendet werden."

Mögliche Gegenmaßnahmen

Um die Ladeanwendungen und die Infrastruktur angemessen zu schützen, können die Entwickler von Ladeanwendungen verschiedene Gegenmaßnahmen ergreifen. Dazu gehören laut Radware die Validierung und Bereinigung von Eingaben, die Durchsetzung der Whitelist genehmigter Ressourcen und die Begrenzung des Umfangs der Anfragen, die von der Anwendung gestellt werden könnten. 

Ladeunternehmen sollten Radware zufolge auch die Implementierung einer Reihe von Cybersicherheits-Tools und -Maßnahmen in Betracht ziehen, um sich gegen verschiedene Arten von Cyberangriffen auf Anwendungen zu schützen. Zu diesen Tools sollen WAFs, Bot-Manager, API- und DDoS-Schutz-Tools, client-seitiger Schutz zur Überwachung der Anwendungslieferketten, Systeme zur Erkennung und Verhinderung von Eindringlingen, Verschlüsselung und Zugangskontrollen gehören. Auch proaktive Maßnahmen wie regelmäßige Sicherheitstests und Schwachstellenbewertungen seien nötig.