Wie sicher sind die Ladesäulen für E-Autos?

Ladesäulen für E-Autos

2020 wollte die Bundeskanzlerin eigentlich eine Million E-Autos auf deutschen Straßen haben. Dieses Ziel wurde allerdings nicht erreicht, und zwar aus verschiedenen Gründen: eine zu geringe Reichweite, zu teuer und vor allem zu wenig Möglichkeiten, die Autos mit Strom zu „betanken“. Zugegebenermaßen werden immer mehr Ladesäulen installiert, aber bei einigen lässt offenbar die Sicherheit zu wünschen übrig. So muss beispielsweise der Hersteller Compleo schon zum zweiten Mal die Sicherheit der Anzeigemodule erhöhen. Deshalb stellt sich natürlich die Frage: Wie sicher sind die Ladesäulen für E-Autos?

Ein bekanntes Problem

Nachdem bereits einmal eine Lücke bei den Anzeigemodulen des Ladesäulenherstellers Compleo aufgedeckt wurde, muss das Unternehmen jetzt erneut nachbessern. Für die Dortmunder Firma ist das Ganze besonders ärgerlich, da ein Gang an die Börse geplant ist. Verbesserungswürdig ist das sogenannte Hashverfahren, denn die Hashwerte, die auf den Ladekarten-Ids angezeigt werden, lassen sich relativ schnell und einfach cracken. Compleowurde nachgewiesen, dass das gewählte Hashverfahren nicht sicher ist. Bereits vor einem Jahr hatte der Chaos Computer Club das Unternehmen auf diese Sicherheitslücke hingewiesen. Mit dem Speicher- und Anzeigemodul aus dem Hause Compleo, kurz SAM genannt, ließen sich die UIDs der Ladekarten ohne Probleme oder technischen Aufwand auslesen. Diese Karten lassen sich ganz einfach klonen, was der CCC auch demonstriert hat.

Wie sicher sind die Ladesäulen für E-Autos wirklich?

Compleo suchte nach der ersten Panne nach einer Lösung und zeigte statt der UID deren Hashwert an. Dies hat der Chaos Computer Club allerdings scharf kritisiert, da die Ladesäulen für E-Autos damit nicht sonderlich sicherer werden. Sie sind vielmehr immer noch viel zu leicht angreifbar. Das gewählte Hashverfahren gilt zwar als einigermaßen sicher, aber der nur begrenzte Zeichenraum, der gehasht werden kann, ist nach wie vor leicht zu cracken. Wie das möglich ist, wurde bereits demonstriert. Um die verkürzten Werte zu cracken, musste nur der Quellcode angepasst werden, was recht einfach ist. Da die Parameter für die unterschiedlichen Hashverfahren in den einzelnen Modulen hinterlegt sind, ist nur eine kleine Anpassung erforderlich. Sicherheit bei den Ladesäulen für E-Autos sieht nach Meinung des CCC anders aus.

Siehe auch:  So sieht die neue IT-Sicherheitsrichtlinie für Kassenärzte aus

Das Verfahren wurde verändert

Nach dem Hinweis des CCC hat Compleo inzwischen das Verfahren grundlegend verändert. Das fällt den Autofahrern bereits auf, wenn sie an einer Ladesäule mit SAM den Ladechip an den Kartenleser halten. Wurde früher der SHA256-Hashwert angezeigt, so ist der Wert heute nur noch für einen kurzen Moment zu sehen. Danach wird ein anderer Hashwert angezeigt, der nicht mehr auf direktem Weg aus der UID abgeleitet wird. Wer den RFID-Chip nur einige Minuten später erneut an die Säule hält, sieht einen anderen Hashwert.

Fazit

Bei der Sicherheit sollte nach Möglichkeit nichts dem Zufall überlassen werden. Aus diesem Grund ist das neue Vorgehen von Compleo eindeutig zu begrüßen. Leider ist das Konzept der Mifare-Classic-Tags noch immer nicht ganz sicher. Falls es nur einen einzigen Sicherheitsfaktor gibt, dann sollte dieser nach Möglichkeit nicht noch unnötig kompromittiert werden. Jetzt stellt sich nur noch die Frage, ob das neue System überhaupt mit dem deutschen Eichrecht kompatibel ist. Dass dieses Recht bekanntlich sehr kompliziert ist, hat auch die Dortmunder Firma Compleo bereits erfahren.

Beitragsbild: depositphotos.com / 305451714 @ DanielDoorakkers

Wie sicher sind die Ladesäulen für E-Autos?

Ulrike Dietz