Ladesäulen als Cyberrisiko

Viele Unternehmen, die auf ihren CO2-Fußabdruck achten, setzen auf E-Autos in ihrem Fuhrpark. Wichtig zu wissen: Das Laden an öffentlichen Ladesäulen kann ein Cyberrisiko darstellen.

Wir erklären, weshalb Ladesäulen für Hackerangriffe attraktiv sind und worauf Unternehmen achten sollten, um das Risiko zu minimieren.

Firmen setzen auf Elektroautos

Diese Zahl ist ziemlich eindrucksvoll: Der Anteil von Firmenwagen an allen in Deutschland neu zugelassenen Elektroautos lag nach Angaben des Verbands der Automobilindustrie (VDA) im Jahr 2023 bei 44,8 Prozent. Ableiten lässt sich daraus, dass Unternehmen als ein wichtiger Treiber für klimaneutrale Elektromobilität zu verstehen sind.

Zu verdanken ist dieser Umstand vermutlich vorrangig den staatlichen Förderungen, die die Ergänzung des Firmen-Fuhrparks durch E-Autos besonders attraktiv machen. Aber auch die Tatsache, dass sich immer mehr Unternehmen um Nachhaltigkeit und eine Verringerung des eigenen CO₂-Fußabdrucks bemühen, verleiht der Elektromobilität den nötigen Antrieb und beschleunigt den Übergang zur modernen und umweltfreundlicheren Fahrzeugflotte.

Es gibt dabei allerdings ein Problem, dass Unternehmen vermutlich nicht auf dem Schirm haben, aber eigentlich zwingend beachten sollten: Experten warnen, dass das Laden an einem Großteil der öffentlich verfügbaren Ladesäulen ein Cyberrisiko darstelle – und dadurch zu einem Stolperstein auf dem Weg zu einer grünen Zukunft werden können!

Ladesäulen stellen Cyberrisiko dar

Fakt ist, dass Ladesäulen für Elektrofahrzeuge technologisch ausgefeilter sind, als es bei der schnöden Benzin- oder Diesel-Zapfsäule an der nächstgelegenen Tankstelle der Fall ist. Meist sind die Ladestationen nämlich mit einem Netzwerk verbunden, um beispielsweise die Fernsteuerung und -überwachung sowie die Abrechnungsdienste zu ermöglichen. Und genau das ist der Grund dafür, dass sie auf das Radar von Hackern rücken.

Die Rechnung dabei ist ziemlich simpel: Je mehr Elektrofahrzeuge es gibt, desto interessanter werden Ladesäulen als potenzielles Angriffsziel. Die Ladestationen sollen als Einfallstor dienen, um darüber Zugang zu sensiblen Daten zu erlangen. Hierbei kann es sich zum Beispiel um Fahrzeug- und Benutzerinformationen handeln. Im schlimmsten Fall kann so ein Diebstahl von sensiblen Daten zu einem massiven Sicherheitsvorfall in Unternehmen führen.

Tatsächlich geben Sicherheitsfachleute schon seit Jahren immer wieder Warnungen heraus, in denen sie mangelnde Sicherheitsmaßnahmen bei Ladesäulen kritisieren. Wir haben uns diese Warnungen angesehen und stellen in den folgenden Abschnitten die fünf wichtigsten Gründe dafür vor, dass Ladesäulen ein attraktives Ziel für Cyberangriffe sind.

Grund Nr. 1: physische Angreifbarkeit

Die physische Sicherheit von Ladesäulen ist der erste Grund dafür, dass Ladesäulen für Hacker attraktiv sein können. Platziert im öffentlichen Raum sind Ladesäulen für jeden offen zugänglich. Damit sind sie potenziell nicht nur Vandalismus ausgesetzt, sondern eben auch jenen Personen, die an ihnen ihre Hacking-Skills erproben wollen. Dass viele Ladestationen lediglich mit Standard-Elektrikschaltschrankschlössern ausgestattet sind, die nicht allzu schwer zu knacken sind, kommt den Angreifern dabei natürlich mehr als gelegen.

Das Ergebnis ist, dass es Hackern und anderen unbefugten Personen nicht schwer fallen dürfte, die physische Barriere zu überwinden und mit dem passenden technischen Equipment anschließend die Kontrolle über die eingebauten Rechner zu erlangen. In der Folge könnten sie möglicherweise Ladevorgänge manipulieren oder sensible Daten entwenden.

Grund Nr. 2: mangelnde Protokollsicherheit

Ein weiteres erhebliches Cyberrisiko, das Fachleute bezüglich Ladestationen immer wieder kritisieren, ist die mangelnde Protokollsicherheit. Viele Ladesäulen verwenden das sogenannte Open Charge Point Protocol (OCCP), das in älteren Versionen wie OCCP 1.6 keine Verschlüsselung oder Authentifizierung vorsieht. Das bedeutet: Die Kommunikation zwischen Ladesäule und Backend-System ist ungeschützt und kann leicht abgefangen werden, sodass sensible Daten in die Hände von Cyberkriminellen gelangen können.

Die gute Nachricht ist, dass mit OCCP 2.0.1 bereits eine sicherere Alternative zur Verfügung steht. Allerdings müssen die Betreiber von Ladesäulen hier erst ihre Hausaufgaben machen und die Aktualisierung durchführen, damit diese sicherere Option auch tatsächlich Anwendung findet. Fakt ist: Dass alle betroffenen Systeme auf den neuesten Stand der Technik gebracht werden, um die Datensicherheit zu gewährleisten, ist von absolut entscheidender Bedeutung.

Grund Nr. 3: unzureichende Backend-Sicherheit

Aber nicht nur die mangelnde Protokollsicherheit, die sich auf die direkte Kommunikation zwischen Ladesäulen und Backend-Systemen bezieht, ist ein Problem. Auch die unzureichende Backend-Sicherheit steht wiederholt in der Kritik von Sicherheitsexperten. Vorrangig geht es hier um Schwachstellen in den Servern und Datenbanken, die die von den Ladesäulen übertragenen Daten verarbeiten und speichern.

Die Sache ist die: Ohne robuste Verschlüsselungsmaßnahmen, regelmäßige Sicherheitsupdates und fortgeschrittene Zugriffskontrollen sind Systeme anfällig für Cyberangriffe – und diese können wiederum zu Datenlecks, zur Manipulation von Ladevorgängen und sogar zu finanziellen Verlusten führen. Das Risiko wird zusätzlich verstärkt, wenn die Protokollsicherheit schwach ist, da Angreifer dadurch noch einfacher Zugang zu ungeschützten Daten erhalten können.

Die Fachleute fordern daher, dass nicht nur die Datenübertragung sondern auch die Infrastruktur, die diese Daten verwaltet und verarbeitet, umfassend geschützt werden muss. Hier sind die Hersteller und Betreiber von Ladesäulen gleichermaßen in der Pflicht.

Grund Nr. 4: unsichere Ladekarten

Ein weiterer Kritikpunkt der Fachwelt: Die Sicherheitsmerkmale von Ladekarten, die bei manchen Ladesäulen-Systemen verwendet werden, sind teilweise unzureichend genutzt. Viele Karten verwenden zwar fortschrittliche Technologien, die für eine sichere Authentifizierung genutzt werden könnten, doch in der Praxis ist es scheinbar sehr häufig so, dass lediglich die eindeutige Identifikationsnummer der Karte verwendet wird.

Dies macht das Klonen der Karten einfach und eröffnet Möglichkeiten für Betrug, wie etwa das unbefugte Laden von E-Fahrzeugen auf Kosten anderer. Oder anders gesagt: Eigentlich sichere Ladekarten sind durch den nicht korrekten Einsatz plötzlich unsichere Ladekarten.

Eine Umstellung auf vollständig verschlüsselte und gesicherte Authentifizierungsverfahren ist dementsprechend unerlässlich. Die Betreiber von Ladestationen sind daher dazu aufgerufen, in sichere Technologien zu investieren und die Nutzung von Techniken, die über die bloße Identifikationsnummer hinausgehen, zu forcieren.

Grund Nr. 5: veraltete Software

Kommen wir zum fünften und letzten Grund dafür, dass Ladesäulen als Cyberrisiko gelten: der Einsatz von veralteter Software. Experten kritisieren, dass zahlreiche Ladesäulen mit Betriebssystemen und Anwendungen ausgestattet sind, die nicht regelmäßig aktualisiert werden. Das Problem dabei ist, dass bei veralteten Systemen oft Sicherheitslücken bestehen, die bereits öffentlich bekannt sind und daher von Cyberkriminellen leicht ausgenutzt werden können.

Ohne zeitnahe Patches und Updates sind die Systeme anfällig für eine Vielzahl von Angriffen: Möglich ist auch in diesem Fall, dass Angreifer in die Systeme eindringen, sensible Nutzerdaten stehen oder Ladevorgänge manipulieren.

Die Aktualisierung der Software ist also entscheidend, um die Sicherheit zu verbessern und die Integrität der Ladeinfrastruktur zu schützen. Es ist daher wichtig, dass Betreiber von Ladesäulen proaktive Maßnahmen ergreifen, um ihre Systeme auf dem neuesten Stand zu halten und somit die Sicherheit für alle Nutzer zu gewährleisten.

Tipps für Unternehmen: Ladesäulen sicher nutzen

Die genannten Cyberrisiken bei Ladesäulen sind natürlich kein Grund dafür, E-Firmenwagen wieder aus dem Unternehmensfuhrpark zu verbannen. Vielmehr gilt es, sich den Risiken bewusst zu sein und proaktiv darauf zu reagieren. Wie? Indem die folgenden Tipps umgesetzt werden:

• Eigene Ladesäulen nutzen:
  Wenn möglich, sollten Unternehmen eigene Ladesäulen auf dem Firmengelände installieren und Mitarbeiter dazu anhalten, nach Möglichkeit vor Ort die E-Autos zu laden. Wichtig dabei ist, dass die Ladesäulen für Unbefugte nicht erreichbar sind und idealerweise durch ein Videoüberwachungssystem zusätzlich abgesichert sind.
• Auf Sicherheitsmaßnahmen achten:
  Bei der Wahl von Ladesäulen für das eigene Firmengelände sollten Unternehmen die Angebote verschiedener Hersteller vergleichen und auf verschiedene Sicherheitskriterien achten. Dies bezieht sich sowohl auf die physische Sicherheit in Form von sicheren Schlosssystemen als auch auf die virtuelle Absicherung.
• Regelmäßige Wartungen initiieren:
  Sie sollten mit dem Anbieter der Ladesäulen feste Wartungstermine abmachen. Es gilt, die Ladesäulen vor Ort zu inspizieren und die eingebundenen Systeme zuverlässig mit Software-Updates zu versorgen, um die Einhaltung der aktuellen Sicherheitsstandards zu gewährleisten.
• Vertrauenswürdige Anbieter wählen:
  Sicherlich lässt es sich nicht verhindern, dass Elektro-Firmenwagen auch mal fern des Firmenstandorts geladen werden müssen. Für diesen Fall sollten Unternehmen Anbieter von externen Ladesäulen wählen, die nachweislich hohe Sicherheitsstandards unterstützen und regelmäßige Software-Updates zur Verfügung stellen.
• Sichere Zahlungsmethoden verwenden:
  Statt unsichere Ladekarten zu nutzen, sollten Unternehmen auf sichere Zahlungsmethoden wie Kreditkarten mit zusätzlichen Sicherheitsfunktionen oder auf mobile Zahlungsapps, die verschlüsselte Transaktionen ermöglichen, zurückgreifen.
• Mitarbeiter schulen:
  Es ist wichtig, dass Mitarbeiter über die Risiken und richtigen Verhaltensweisen im Umgang mit Ladesäulen informiert sind. Schulungen können dazu beitragen, das Bewusstsein für potenzielle Sicherheitsbedrohungen zu schärfen und richtige Reaktionsweisen zu fördern.
• Notfallpläne erstellen und aktualisieren:
  Im Falle eines Sicherheitsvorfalls sollten klare Richtlinien vorhanden sein, wie zu reagieren ist. Dazu gehört das schnelle Identifizieren und Isolieren betroffener Systeme sowie das Informieren aller relevanten Stakeholder.

Durch die Implementierung dieser praktischen Maßnahmen können Unternehmen das Risiko von Cyberangriffen, das mit der Nutzung von Ladesäulen einhergeht, reduzieren und die Vorteile der Elektromobilität sicher nutzen.

So können IT-Dienstleister unterstützen

Obwohl IT-Dienstleister nicht unbedingt Spezialisten für Ladesäulen sind, spielen sie dennoch eine wichtige Rolle dabei, Unternehmen in Bezug auf Cybersicherheit bestmöglich aufzustellen. Sie helfen dabei, umfassende Sicherheitskonzepte zu erstellen und mit der Umsetzung dieser Konzepte den Schutz vor unbefugtem Zugriff und Datenmissbrauch zu gewährleisten.

Auch die Experten aus dem IT-SERVICE.NETWORK bieten strategische Beratung, um Sicherheitsmaßnahmen effektiv zu planen und zu implementieren sowie um effiziente IT-Notfallpläne zu erarbeiten. Mit gezielten Schulungen trainieren die IT-Fachleute aus unserem Netzwerk zudem das Sicherheitsbewusstsein von Mitarbeitern. Diese umfassende Unterstützung hilft Unternehmen, ihre IT-Infrastruktur, einschließlich der verwendeten Ladesäulen, robust gegen Bedrohungen zu schützen und die Sicherheitskultur im Unternehmen zu stärken.

---

Weiterführende Informationen:
VDA, SECURITY INSIDER, Springer Professional, SWISS CYBERSECURITY, auto motor sport, B2B CYBER SECURITY,
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Gemeint sind jedoch immer alle Geschlechter und Geschlechtsidentitäten.