Warum Ladestationen für E-Autos zum Cyberrisiko werden
Mit den Elektroautos nimmt auch die Zahl der dafür vorgesehenen Ladestationen zu. Doch wer die Stromtankstellen betreibt und nutzt, sollte vor Cyberkriminellen auf der Hut sein. Denn sie könnten unter Umständen nicht nur die Ladesäule, sondern auch die E-Autos lahmlegen.
Elektroautos werden immer beliebter – auch in der Schweiz. Hierzulande wurden 2022 über 75'000 E-Autos verkauft, wie Sie hier nachlesen können. Mit den Elektrofahrzeugen nimmt auch die Anzahl Ladestationen ständig zu. Über 9000 öffentliche Ladesäulen gibt es laut einer Karte des Bundes hierzulande bereits.
Doch wer solche Ladestationen sucht, nutzt oder betreibt, sollte wachsam sein. Denn Cyberkriminelle könnten die Infrastruktur für ihre bösartigen Machenschaften missbrauchen. Davor warnt Cybersecurity-Anbieter Radware.
Alles ist vernetzt
Demnach stellen nicht nur die Ladestationen selber ein Cyberrisiko dar: Um dem wachsenden Bedarf an Ladestationen gerecht zu werden und den Besitzern von E-Fahrzeugen ein nahtloses Erlebnis zu bieten, ist laut Radware auch die Zahl der Anwendungen für E-Fahrzeug-Ladestationen exponentiell gestiegen. Es gibt Endbenutzer-Apps zum Auffinden von Ladestationen, Bezahl-Apps für das Aufladen von Akkus, Endpunkt-Apps, die den Fahrern helfen, ihren Stromverbrauch zu überwachen und zu verwalten, sowie Apps auf Unternehmensebene zur Verwaltung von Ladestationsflotten und Ladenetzen in Geschäfts- und Wohngebäuden.
Alle diese Anwendungen interagieren in der Regel untereinander und mit Diensten und Plattformen von Drittanbietern über APIs oder JavaScript-Plugins. Sie verarbeiten mitunter sensible Daten über Fahrzeuge und Fahrer und steuern den Strom im Netzwerk der Ladesäulen.
Für Cyberkriminelle sind solche Anwendungen ein lukratives Ziel: Sie könnten beispielsweise versuchen, Geld, Strom oder persönliche Daten zu stehlen oder sogar die Ladesäulen oder die daran angeschlossenen Fahrzeuge zu beschädigen, wie Radware erklärt. Als Beispiel möglicher Angriffsmethoden nennt das Unternehmen Account-Takeovers (ATOs, alsoKontoübernahmen), MITM (Man-in-the-Middle), Angriffe auf die Lieferkette, API-Missbrauch, client- und serverseitige Anfragefälschungen, XSS (Cross-Site-Scripting). Zu den von Radware aufgezählten häufigen Cyberrisiken für Ladeanwendungen gehören Malware, fehlende Verschlüsselung, ungenügende Authentifizierung, Datenschutzrisiken sowie Risiken der Lieferkette.
Noch fehlt die Regulierung
"Eine der Sicherheits-Herausforderungen besteht darin, dass die Anwendungen, die auf den Endgeräten der Ladestationen laufen, nicht so oft aktualisiert werden, wie sie sollten", lässt sich Uri Dorot, Senior Security Solutions Lead bei Radware, zitieren. "Infolgedessen laufen viele veraltete Versionen von Linux und JavaScript mit neuen Schwachstellen, die nicht gepatcht wurden."
Gefordert ist hier auch der Gesetzgeber, wie das Unternehmen ausführt. Die Ladeindustrie durchlaufe derzeit noch ihre ersten regulatorischen Schritte, heisst es in der Mitteilung. "Derzeit geben die Vorschriften und Standards für die Ladeindustrie - wie ISO 15118 und SAE J3061 - lediglich die Sicherheitsmassnahmen vor, die Ladeunternehmen zum Schutz ihrer Systeme und Kundendaten vor Cyberangriffen berücksichtigen sollten", so Dorot. Dagegen gebe es kaum Anforderungen und Durchsetzung, um sicherzustellen, dass bestimmte Cybersicherheits-Tools verwendet werden.
Schutzmassnahmen
Entwickler von Ladeanwendungen rät Radware, mittels spezifischer Massnahmen gegen mögliche Cyberangriffe vorzugehen. Dazu gehören die Validierung und Bereinigung von Eingaben, die Durchsetzung der Whitelist genehmigter Ressourcen und die Begrenzung des Umfangs der Anfragen, die von der Anwendung gestellt werden können.
Auch für Ladeunternehmen nennt Radware ein paar zu Tools und Massnahmen für mehr Cybersicherheit: Zu diesen Tools gehören WAFs (Web Application Firewall), Bot-Manager, API- und DDoS-Schutz-Tools, Client-seitiger Schutz zur Überwachung der Anwendungslieferketten, Systeme zur Erkennung und Verhinderung von Eindringlingen, Verschlüsselung und Zugangskontrollen. Zudem sollten sie proaktiv handeln und etwa regelmässige Sicherheitstests und Schwachstellenbewertungen durchführen.
Auch die vernetzten Autos selber sollten in puncto Cybersicherheit auf dem neuesten Stand gehalten werden. Welche Cyberbedrohungen im Smart Car mitfahren, lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.