Die Elektromobilität auf der Überholspur: Bleibt die Cyber-Sicherheit auf der Strecke?

Die Zahl der Elektrofahrzeuge auf Schweizer Strassen wächst rasant und eine Trendwende ist nicht in Sicht. Angetrieben durch Investitionen in dezentrale Stromerzeugung und nachhaltige Technologien zur Speicherung und Nutzung von elektrischer Energie haben erste Fahrzeughersteller angekündigt, in naher Zukunft keine Fahrzeuge mit Verbrennungsmotoren mehr zu produzieren. Dies wohl auch, weil viele Länder in wenigen Jahren keine Strassenzulassung für Verbrenner mehr erteilen dürften. Damit die ersehnte Wende im Strassenverkehr möglich wird und tatsächlich ein nachhaltig positiver Weg eingeschlagen werden kann, braucht es eine Reihe von Vorkehrungen – nicht zuletzt im Bereich der Cyber-Sicherheit.

Kernelement Ladeinfrastruktur

Zu nennen sei hier vor allem eine tragfähige Ladeinfrastruktur, die verlässlich den Strom dort bereitstellt, wo sich die zu ladenden Fahrzeuge befinden. Diese vernetzte Ladeinfrastruktur befindet sich derzeit weltweit im Aufbau. In der Schweiz hat sich die Anzahl öffentlicher Ladestationen in den letzten drei Jahren mehr als verdoppelt (eMobility, 2023).

Entwicklung der öffentlichen Ladestationen seit Januar 2021. Eine Ladestation kann mehrere Ladeplugs haben. (Grafik: Swiss eMobility, Quelle: BFE)

Die treibenden Kräfte im Ökosystem der E-Mobilität sind eine Vielzahl von innovativen Start-ups, die in den letzten Jahren entstanden sind. Diese haben naturgemäss einen klaren Fokus auf eine möglichst schnelle Markteinführung und eine hohe Marktdurchdringung. Cyber-Sicherheit steht dabei eher im Weg und hat oft geringe Priorität.

Jedoch lässt sich auch bei diesem gross angelegten Digitalisierungsvorhaben die Sicherheit nicht ausblenden. Im Gegenteil. Die Kernelemente für Vertraulichkeit, Integrität und Verfügbarkeit der Elektromobilität sind standardisierte Sicherheitsanforderungen, sichere Kommunikation und Datenübertragung sowie Authentifizierungen und Zugriffskontrollen. Auch die Resilienz gegenüber Angriffen und Störungen der Ladestationen sowie die Fahrzeugsicherheit sind wesentliche Sicherheitsfaktoren. Im Folgenden werden diese Aspekte kurz beleuchtet.

Standardisierung und Compliance

Standardisierung spielt eine wichtige Rolle, damit alle Akteure – insbesondere in Wachstumsmärkten – ein gemeinsames Verständnis der erforderlichen Sicherheitsmassnahmen haben und folglich ein robustes Sicherheitsniveau gewährleistet werden kann. Darüber hinaus ist die Compliance mit nationalen und internationalen Sicherheits- und Datenschutzvorschriften unerlässlich. In der Schweiz und in Europa haben sich bereits einige Standards und Protokolle etabliert, um eine herstellerübergreifende Kommunikation zur Verwaltung, Abrechnung und Überwachung von Ladestationen zu ermöglichen. So wird OCPP (Open Charge Point Protocol) für die Interaktion zwischen Ladestationen und zentralen Backends eingesetzt.

Seit einigen Jahren steht die Protokollversion 2.0 bereit, die um wichtige Sicherheitsmerkmale erweitert wurde. In der Schweiz operierende Ladeinfrastruktur-Anbieter verwenden jedoch überwiegend das OCPP-Protokoll 1.6 aus dem Jahr 2015, bei welchem wichtige Sicherheitsmerkmale gänzlich fehlen oder optional sind. So ist die Kommunikation zwischen Ladestation und Backend oft unverschlüsselt und die Authentifizierung der Ladestation gegenüber dem Backend nicht ausreichend.

Sichere Kommunikation und Datenübertragung

Zur Stärkung des Vertrauens und zum Schutz der Privatsphäre der personenbezogenen Nutzerdaten gemäss den geltenden Datenschutzgesetzen ist entscheidend, dass die Übertragung von Daten zwischen Fahrzeugen, Ladestationen und Netzwerk-Backends durchgehend verschlüsselt erfolgt. Zudem müssen Sicherheitsmechanismen implementiert werden, um die Systeme vor Man-in-the-Middle-Angriffen zu schützen. Diese Mechanismen sollen in der Lage sein, verdächtige Aktivitäten zu erkennen und zu blockieren, um zu verhindern, dass Angreifer die Kommunikation abfangen oder manipulieren können. Dies würde zu Ladeausfällen, Fehlbuchungen oder gar flächendeckenden Blackouts führen – dazu später mehr.

Authentifizierungs- und Zugriffskontrolle

Sichere Authentifizierungsmechanismen sind essenziell, um sicherzustellen, dass nur autorisierte Fahrzeuge und Nutzende Zugang zu den Ladediensten erhalten. Ausserdem muss sichergestellt sein, dass keine gefälschten – sprich nur autorisierte – Ladestationen im System mitwirken. Durch robuste Authentifizierungsverfahren können potenzielle Angriffspunkte für Cyber-Kriminelle minimiert und die Sicherheit des Ladevorgangs erhöht werden. Dies gewährleistet eine sichere und vertrauenswürdige Verbindung der verbundenen Parteien. Die Authentifizierung in OCPP-Systemen dient dazu, die Identität von Ladestationen und Backends zu überprüfen, bevor sie miteinander kommunizieren können. Dies verhindert unbefugten Zugriff auf das Ladesystem und gewährleistet die Sicherheit der Transaktionen und Datenübertragung. Im OCPP-Standard (1.6 und 2.0) werden zwei Arten von Authentifizierungen beschrieben.

Die HTTP-BASIC-Authentifizierung erfolgt über Benutzername und Passwort sowie eine zertifikatsbasierte Authentifizierung. Es ist zu bedenken, dass die Zugangsdaten bei einer Authentifizierung mittels HTTP-BASIC lediglich codiert, aber nicht verschlüsselt werden. Eine Codierung kann direkt in den Klartext umgewandelt werden. Daher bietet diese Methode keine ausreichende Sicherheit, sofern nicht zusätzlich via TLS verschlüsselt wird. Heute wird die Authentifizierung bei einigen Anbietern nicht oder durch einen eigenen Mechanismus überprüft. So dient bei der Anmeldung an einer Ladestation beispielsweise eine Kundenkarte, deren gespeicherte Kundennummer als einziges Erkennungsmerkmal gilt. Diese sind typischerweise leicht zu erraten oder durch wiederholte Versuche ausfindig zu machen (NTC, 2023: Sicherheitsanalyse der Schweizer Ladeinfrastruktur für Elektromobilität).

Resilienz gegenüber Angriffen und Störungen

Die Sicherheit von Firmware und Software ist für die Integrität der Ladestationen von entscheidender Bedeutung. Diese kann durch regelmässige Sicherheitsüberprüfungen und Updates, Verschlüsselungstechniken und die Implementierung von strengen Signaturprüfungen erhöht werden. Mit strengen Signaturprüfungen kann insbesondere Manipulationen wie dem Einschleusen schädlicher Software entgegengewirkt werden.

Im OCPP-Protokoll (Version 1.6) sind keine Vorschriften für Monitoring- oder Logging-Möglichkeiten vorgeschrieben. Zudem ist der Update-Mechanismus für die Firmware der Ladestationen als unsicher einzustufen.

Ausserdem muss die Verfügbarkeit der Ladeinfrastrukturnetzwerke stets sichergestellt sein. Ladeinfrastrukturnetzwerke müssen gegen verteilte Überlastangriffe (Distributed Denial of Service, DDoS) widerstandsfähig sein. DDoS-Angriffe zielen darauf ab, die Infrastruktur durch eine Ausschöpfung der Ressourcen im Netzwerk oder an den Endpunkten zu überwältigen. Traffic-Filtering oder Intrusion-Detection-Systeme sind geeignete Massnahmen, um die Resilienz gegen solche Angriffe zu stärken. Denkbar ist auch, die Ladeinfrastruktur über moderne Internetarchitekturen (zum Beispiel SCION) abzusichern, in denen eine hohe Verfügbarkeit by design vorgesehen ist.

Sicherheit der Fahrzeuge

Der Interessenkonflikt bezüglich der Cyber-Sicherheit in Fahrzeugen liegt häufig in der Balance zwischen Funktionalität und Sicherheit. Fahrzeughersteller streben in der Regel nach Innovation und bieten eine Vielzahl von Funktionen und Diensten an, die eine nahtlose Integration mit dem Internet und angeschlossenen Consumer-Geräten – wie beispielsweise Smartphones – ermöglichen. Dies kann jedoch zu Sicherheitsrisiken führen, da verbundene Fahrzeuge, die mit dem Internet kommunizieren, potenzielle Einfallstore für Cyber-Angriffe sind. Um dieses Risiko zu minimieren, ist es unerlässlich, robuste Sicherheitsmechanismen in die Fahrzeugsoftware zu integrieren, regelmässige Sicherheits-Updates bereitzustellen und Sicherheitslücken aktiv zu identifizieren und zu beheben.

In der Praxis: schwerwiegende Schwachstellen in 30 Organisationen

Das Nationale Testinstitut für Cybersicherheit (NTC) nutzte im Sommer 2023 die Chance, die rasant wachsende öffentliche Ladeinfrastruktur für Elektromobilität bereits im Aufbau einer umfassenden Sicherheitsanalyse zu unterziehen. Im Zeitraum von Mai bis August 2023 wurden über das Internet zugängliche Systeme von rund 50 verschiedenen Herstellern getestet, darunter sieben mobile Apps, die Firmware von elf Ladestationen und zentrale Backend-Applikationen von 23 Ladesäulenbetreibern. Die Ergebnisse der Tests verdeutlichen eine verbesserungswürdige Sicherheitslage im Bereich der öffentlichen Ladeinfrastruktur für Elektromobilität in der Schweiz.

Die meisten Schwachstellen wurden in Backend-Systemen und nicht in den Ladestationen selbst identifiziert, da die Überprüfung auf diese Systeme ausgerichtet war. Schwachstellen in Backend-Systemen sind besonders kritisch, da sie eine grössere Skalierbarkeit bieten und es einem Angreifer ermöglichen, mit weniger Aufwand eine grosse Anzahl von Verbrauchern aus der Ferne anzugreifen. In den meisten Fällen handelte es sich um leicht erkennbare und ausnutzbare Verwundbarkeiten, die bereits durch automatisierte Tests erkannt werden können. Dies legt nahe, dass die Systeme nicht ausreichend auf Schwachstellen getestet werden.

Am häufigsten wurden Systeme identifiziert, die entweder nicht für den Zugriff aus dem Internet vorgesehen waren oder aufgrund von Fehlkonfigurationen mehr Informationen preisgaben als notwendig. Zum Beispiel wurden mehrere ungeschützte Konfigurationsdateien erkannt, die Zugangsdaten und andere sensible Informationen enthielten. Andere Schwachstellen waren auf den Einsatz veralteter Software zurückzuführen, was auf ein unzureichendes Patch-Management schliessen lässt.

SQL-Injection-Schwachstellen wurden überraschend häufig identifiziert. Dies ist eine kritische Verwundbarkeitsklasse, die in der Vergangenheit weit verbreitet war. Aufgrund moderner Entwicklungs-Frameworks und der Sensibilisierung von Entwicklern sind sie in den letzten Jahren jedoch seltener geworden. Laut OWASP Top 10 von 2017 belegten Injection-Schwachstellen noch den ersten Platz  (OWASP, 2017). Im Jahr 2021 sind sie bereits auf den dritten Platz abgerutscht, und das, obwohl die weit verbreiteten Cross-Site-Scripting-Angriffe (XSS) neu mit eingerechnet werden (OWASP, 2021). Dies ist ein Anzeichen dafür, dass bestimmte gute Programmierpraktiken im Bereich der Ladeinfrastruktur noch nicht ausreichend verbreitet sind.

Zudem fehlten bei fast allen Unternehmen die vom Bundesamt für Cybersicherheit (BACS) empfohlenen Vulnerability Disclosure Policys, die unter anderem die standardisierte Veröffentlichung der Kontaktdaten einer Schwachstellenmeldestelle vorsehen. In der Praxis ist es – beispielsweise für ethische Hacker – sehr schwierig, mit den betroffenen Unternehmen in Kontakt zu treten, um Schwachstellen zu melden.

Abgesehen von den beschriebenen Risiken im Zusammenhang mit OCPP, die einen Grossteil der Branche betreffen, wurde bei rund 30 Organisationen schwerwiegende Sicherheitslücken festgestellt. Das NTC hat die Hersteller und Betreiber über die Verwundbarkeiten informiert und hat sie diese beheben lassen.

Fazit

Ein ganzheitlicher Ansatz ist von entscheidender Bedeutung, um die Vertraulichkeit, Integrität, und Verfügbarkeit der Elektromobilitätsinfrastruktur zu gewährleisten. Es erfordert eine kontinuierliche Überwachung der Systeme und der Bedrohungslage, eine Anpassung an sich ändernde Normen und Standards sowie eine aktive Herangehensweise bei der Umsetzung von Sicherheitsmassnahmen in die Produktentwicklung und -bereitstellung. Nimmt die Vertrauenswürdigkeit der Elektromobilitätsinfrastruktur einen Schaden, dürfte die Adoption gebremst werden, das Vertrauen vieler Early Adopters zumindest temporär gestört sein und somit das positive Gefühl einer ökologisch nachhaltigen Elektromobilität einen Dämpfer erleiden.