Die Tanke im Visier

E-Ladesäulen vor Hacker-Angriffen schützen

| Redakteur: Jürgen Schreier

Diese Tanke lässt sich natürlich nicht hacken. Hier ist alles komplett offline.
Diese Tanke lässt sich natürlich nicht hacken. Hier ist alles komplett offline. (Bild: Pixabay / CC0)

Hacker attackieren Tankstellen: Zumindest bei Stromtankstellen ist die Gefahr manifest. Das Fraunhofer SIT hat auf einer Konferenz in Berlin gezeigt, wie Betreiber ihre Ladesäulen gegen Manipulationen und Datendiebstähle absichern können

Stromtankstellen stehen meist an Straßenrändern, in Parkhäusern oder an anderen unbewachten Stellen. Ein regelrechte Einladung für alle, die Böses im Schilde führen. Dabei ist das Hacken sogar vergleichsweise simpel. Angreifer können zum Beispiel über einen verfügbaren USB-Anschluss unbemerkt versuchen, die Firmware an der Ladesäule zu manipulieren.

So können sie etwa unbegrenzt frei tanken oder die Ladung über ein anderes Kundenkonto abbuchen lassen. Auch personenbezogene Daten lassen sich auf diese Weise erbeuten und missbrauchen. Die Experten des Fraunhofer-Instituts für Sichere Informationstechnologie SIT haben eine beispielhafte Lösung entwickelt, die mögliche Angriffe und Manipulationen an Ladesäulen verhindert.

Hardware-Sicherheitsmodul ist gegen Angriffe geschützt

Die Absicherung der Ladesäule erfolgt auf Systemebene. Mittels eines Trusted Platform Modules, also eines speziell gegen Angriffe gesicherten Hardware-Sicherheitsmoduls, das fest mit der Ladesäule verbunden ist, lässt sich aus der Ferne prüfen, ob sich die Firmware der Ladesäule in einwandfreiem und vertrauenswürdigem Zustand befindet. Zusätzlich können Betreiber von Ladesäulen auch ferngesteuert die Firmware aktualisieren. Gleichzeitig verhindert die Fraunhofer-Lösung, dass ältere Firmware-Versionen wieder aufgespielt werden, um bekannte Sicherheitslücken darin auszunutzen.

Ladesäulen senden und speichern sensible personenbezogene Daten, sie übermitteln beispielsweise Menge, Dauer und Ort eines Ladevorgangs sowie die dazugehörigen Kundendaten, wie z.B. Vertragsnummern oder RFID Identifier, an eine Abrechnungsstelle. Diese Kommunikation muss verschlüsselt sein, um die Daten der Nutzer zu schützen. Mit der Lösung des Fraunhofer SIT wird das kryptografische Schlüsselmaterial, das auf der Ladesäule benötigt wird, vor Angreifern geschützt und somit verhindert, dass Unberechtigte die gesendeten Daten entschlüsseln.

Demonstrator für die Absicherung von Ladesäulen
Demonstrator für die Absicherung von Ladesäulen (Bild: Fraunhofer SIT)

Die Experten des Fraunhofer SIT haben ihre Beispiel-Lösung erstmals auf der Vernetzungskonferenz Elektromobilität 2018 am 12. und 13. November in Berlin vorgestellt. Die Konferenz wird vom Bundesministerium für Wirtschaft und Energie (BMWi) organisiert und bietet ein Forum zur Vernetzung deutscher und internationaler Vertreter aus Industrie, Forschung und Politik.

Die Arbeit des Fraunhofer SIT ist im Rahmen des Projekts DELTA – Datensicherheit und -Integrität in der Elektromobilität beim Laden und eichrechtkonformen Abrechnen – entstanden. DELTA hat unter anderem das Ziel, Herstellern von Elektrofahrzeugen und Ladesäulen sowie Infrastrukturanbietern zu helfen, ihre Produkte gegen Manipulation zu schützen.

Auch konventionelle Tankstellen lassen sich hacken

Übrigens: Keineswegs sind nur "E-Zapfsäulen" nicht sicher vor Hackerattacken. Auch herkömmliche Tankstellen können angegriffen werden. Experten des Security-Spezialisten Kaspersky Lab haben im Rahmen einer Untersuchung eine Reihe unbekannter Schwachstellen in einer Steuereinheit gefunden, die von Tankstellen weltweit eingesetzt wird. Die Sicherheitslücken betreffen ein Embedded-System, von dem derzeit über 1000 Einheiten installiert und online sind. Über die Schwachstellen wären Hacker in der Lage, via Fernzugriff die Kontrolle über betroffene Systeme zu erlangen. Kaspersky Lab hat den Hersteller umgehend nach Entdeckung der Schwachstellen über die Gefahr informiert.

Ido Naor, Sicherheitsexperte bei Kaspersky Lab, fand eine solche Kontrolleinheit zusammen mit einem weiteren Forscher im Rahmen einer anderen, davon unabhängigen Untersuchung. In vielen Fällen wurde die Steuereinheit bereits vor mehr als einem Jahrzehnt in die Tankstellen integriert und ist seitdem mit dem Internet verbunden.

Benzin zu teuer? Hacker schaffen Abhilfe

Die unter Linux laufende Steuereinheit arbeitet mit hohen Zugriffsrechten und weist eine Reihe von Schwachstellen auf, die sowohl das Gerät als auch verbundene Systeme angreifbar machen. Die Forscher waren beispielsweise in der Lage, Einstellungen innerhalb des Tankstellensystems einzusehen und zu konfigurieren. Angreifer, die den Anmeldebildschirm umgehen und Zugang zu den Hauptschnittstellen erhalten, wären imstande:

  • die Tanksysteme auszuschalten,
  • die Treibstoffpreise zu ändern,
  • Treibstofflecks zu verursachen,
  • Zahlungsterminals zu umgehen, um Geld zu stehlen (die Steuereinheit verbindet sich direkt mit dem Zahlungsterminal, so dass der Zahlungsverkehr gekapert werden kann),
  • Fahrzeugkennzeichen und Fahreridentitäten zu sammeln,
  • Code auf der Steuereinheit auszuführen oder
  • sich frei im Netzwerk der Tankstelle zu bewegen.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45657509 / Praxis)