Sicherheitslücke Wenn Betrüger an der Elektro-Tankstelle Strom zapfen

Eine Seriennummer genügt - und schon können Betrüger an Ladesäulen für Elektroautos auf fremde Kosten Strom zapfen. Davor warnt ein IT-Experte. Eine Betreiberfirma bestätigte die Sicherheitslücke.

E-Mobil an einer Ladesäule
DPA

E-Mobil an einer Ladesäule


An den Ladesäulen für Elektroautos gibt es nach Angaben eines Experten erhebliche Sicherheitsprobleme. Die Ladekarten für die Stromtankstellen könnten mit einfachen Mitteln manipuliert werden, sagt Mathias Dalheimer vom Fraunhofer-Institut für Techno- und Wirtschaftsmathematik (ITWM) in Kaiserslautern. Er beschreibt die Sicherheitslücke so: "Es ist, als könnte ich mit der Fotokopie einer EC-Karte im Supermarkt einkaufen."

Die Betreiber der Stromtankstellen geben ihren Kunden Karten mit einem Speicherchip, dessen Daten nach dem NFC-Standard (Near Field Communication) über Funk ausgelesen werden. Diese Technik wird oft auch für Einlasskontrollen in Gebäuden verwendet. Dalheimer untersuchte diese Karten und stellte nach eigenen Angaben fest, dass darauf keine persönlichen Daten gespeichert sind - weder eine Signatur noch eine digitale Unterschrift, die einem Kunden eindeutig zugeordnet werden könnten.

Lediglich eine Seriennummer ist auf der Karte gespeichert.

"Ich brauche nur diese Nummer, um auf fremde Kosten Strom zu laden", sagt Dalheimer. "Es genügt, einer öffentlichen Ladesäule eine existierende Kartennummer zu geben - und schon startet der Ladevorgang."

Betreiber räumt ein, dass Karten kopiert werden können

Karten könnten auf einfache Weise geklont werden, sodass die darauf gespeicherte Nummer von mehreren Personen für das Stromladen benutzt werden könne. NFC-Karten könnten zu geringen Kosten im Internet bestellt werden. Zudem sei es ziemlich einfach, mit einem Elektroauto-Simulator eine fremde Kartennummer zu erraten.

Dalheimer nahm deswegen Kontakt mit dem führenden Ladeverbundbetreiber New Motion auf. Das Berliner Unternehmen bestätigte, dass es möglich sei, Ladekarten zu kopieren. "Bei New Motion ist uns bisher allerdings kein einziger Fall von Kartenbetrug bekannt", heiß es dort. Ein Betrug könne zudem "sehr einfach aufgedeckt" werden und lohne sich für Betrüger wegen der niedrigen Ladekosten kaum.

Während des Ladevorgangs sende die Ladestation stetig Informationen an New Motion. "So können wir genau nachvollziehen, mit welcher Ladekarte an welcher Station gerade ein Fahrzeug aufgeladen wird."

Noch mehr Mängel bei Ladestationen

Für die Technik der Ladestationen wird ein einheitliches Software-Protokoll verwendet, das Open Charge Point Protocol (OCCP). Auch hier gibt es laut Dalheimer erhebliche Sicherheitsmängel.

Der Experte stellt seine Erkenntnisse in der nächsten Woche auf dem Kongress des Chaos Computer Clubs (CCC) in Leipzig vor. Zur 34. Ausgabe des Treffens werden zwischen Weihnachten und Silvester rund 15.000 Teilnehmer in Leipzig erwartet. Das diesjährige Motto ruft zum Handeln auf: "Tu wat".

cst/dpa

Mehr zum Thema


insgesamt 70 Beiträge
Alle Kommentare öffnen
Seite 1
romanpg 18.12.2017
1. Schockierend..
das soetwas im Jahr 2017 noch möglich ist und gleichzeitig vollkommen unverständlich. Die meisten der mir bekannten Programmiersprachen enthalten in ihrer Standardbibliothek zumindest einigermaßen sichere Hashingalgorithmen.
funny-smartie 18.12.2017
2. normal!
Mich wundert es gar nicht mehr. Auf der einen Seite soll es einfach sein, auf der anderen Seite wird der Betrug somit gefördert. Nein Spaß beiseite, wie wäre es wenn man einfach mit seiner NFC-Karte sich "anmeldet", dann per SMS eine Mitteilung bekommt dies zu quittieren. Und wenn innerhalb von 5 Minuten keine Quittierungs-SMS gesendet wird, die Ladesäule gleich mal gesperrt wird und die nächste Funkstreife zur Ladesäule anfordert. Dann gibt es alles ein rundes Bild. Die NFC-Karte dient ausschließlich zur Identifikation und kommuniziert ausschließlich mit der hinterlegten Mobilfunknummer.
dancar 18.12.2017
3. alles eine Frage der Strafe
1 Jahr Führerscheinentzug beim Erwischt werden und schon wäre Schluss mit diesen Betrügereien. Wäre auch eine gute Maßnahme beim Smartphone Benutzen während der Fahrt. Die Strafen sind halt viel zu lasch (in der Schweiz etc. geht es ja auch, und in Österreich fahren alle Deutschen wie die braven Lämmer mit ihren 250PS PKW).
herwescher 18.12.2017
4. Auf so etwas einfaches ...
... wie eine - auf der Karte natürlich nicht gespeicherte - vierstellige PIN-Nummer kommen die Entwickler natürlich nicht ... Nicht aller Weisheit letzter Schluss, aber billionenfach bewährt ...
hansglück 18.12.2017
5.
einfach gleich kostenlos wie bei Tesla wäre eine Lösung. Die zu erwartenden Stromkosten werden in den Neupreis mit einkalkuliert oder eine Flatrate pro Monate an den Hersteller wird abgeschlossen. Dann könnte das System sehr vereinfacht werden.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.