Ein IT-Experte vom Fraunhofer-Institut für Techno- und Wirtschaftsmathematik (ITWM) in Kaiserslautern hat eine eklatante Sicherheitslücke bei Ladesäulen für Elektroautos aufgedeckt. Demnach genügt eine Seriennummer, um auf Fremdkosten Strom zu zapfen.
Einmal volltanken, ohne zu bezahlen? Was an gewöhnlichen Tankstellen in Deutschland zwar immer wieder vorkommt, aber mit einem hohen Risiko verbunden ist, nämlich erwischt zu werden, soll mit Elektroautos viel einfacher sein.
Das behauptet zumindest der IT-Experte Mathias Dalheimer vom ITWM in Kaiserslautern in einem Bericht von "Spiegel Online". Dalheimer hat herausgefunden, dass die benötigten Ladekarten für die Stromtanke mit einfachsten Mitteln manipuliert werden können.
Er vergleicht die dafür notwendige Prozedur mit der funktionierenden Fotokopie einer EC-Karte. Eine Betreiberfirma bestätigte die Sicherheitslücke sogar bereits. Doch wie kann das sein?
NFC-Speicherchip als Sicherheitslücke ausgemacht
Das Aufladen funktioniert mittels einer Karte mit einem Speicherchip, dessen Daten nach dem NFC-Standard (Near Field Communication) über Funk ausgelesen werden. Die Technik ist in der Lage, auf eine sehr kurze Distanz Daten auszulesen. Bisher wird sie vor allem bei Einlasskontrollen in Gebäuden oder für den Diebstahlschutz im Einzelhandel verwendet.
Dalheimer stellte nach einer Untersuchung fest, dass auf den Karten der Zapfsäulenbetreiber keinerlei persönliche Daten gespeichert sind, sondern nur eine Seriennummer. Daher reiche es aus, eine dieser Nummern zu kennen, um sein Auto jederzeit und überall mit Strom tanken zu können, so der Experte.
Das Absurde: Die Karten lassen sich mit wenig Aufwand klonen. Im Internet kann man leere NFC-Chips für kleines Geld erwerben, wer ein bisschen Ahnung hat, kann sich sein eigenes Exemplar schnell anfertigen, so die Aussage der Untersuchung. Eine andere Möglichkeit sei, mit einem Elektroautosimulator eine fremde Kartennummer zu erraten.
Der führende Ladeverbundbetreiber New Motion aus Berlin hat auf Anfrage von Dalheimer bereits bestätigt, dass dieser Betrug bekannt und möglich sei. Allerdings argumentiert das Unternehmen damit, dass derartige Betrügereien über eine Standortkennung sehr einfach aufzudecken und überhaupt wegen der niedrigen Ladekosten nur wenig lohnenswert seien.
Technik von Ladesäulen nicht ausgereift
Allgemein wird für die Technik der Ladestationen ein einheitliches Software-Protokoll verwendet, das Open Charge Point Protocol (OCCP). Der IT-Experte sieht auch hier noch weitere Sicherheitslücken.
Denn damit ist das Aufladen auch bei anderen Anbietern alles andere als abgesichert. Auf dem kommenden Kongress des Chaos Computer Clubs (CCC) in Leipzig soll die Problematik diskutiert werden. © 1&1 Mail & Media/ContentFleet
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.