Ladesäulen bilden einen Konvergenzpunkt zwischen OT und IT, der mit einem breiten Spektrum möglicher Cybersicherheitsrisiken für Nutzer wie Infrastrukturbetreiber einhergeht. (Bild: Adobe Stock)
Was klingt wie das Drehbuch eines Kinoblockbusters, ist schon längst keine Utopie mehr: Der Fahrer eines Elektroautos schließt sein Fahrzeug an eine Ladesäule an und öffnet damit unwissentlich die Tür für Angreifer. Im Worst Case sind Hacker in der Lage, Tausende von Ladepunkten aus der Ferne zu manipulieren, und können auf diese Weise ein Stromnetz zum Erliegen bringen oder im großen Stil Daten abgreifen. Die immer stärker voranschreitende Vernetzung von Operational Technology (OT) und Information Technology (IT) – als Herzstück moderner Ladesäulen – befeuert diese Gefährdungslage.
OT bezieht sich dabei auf die Hardware- und Software-Komponenten, die physikalische Prozesse wie die Spannungsregulierung oder Energieverteilung regeln oder zur Verwaltung mechanischer Bauteile der Ladesäule im Einsatz sind. So steuert und unterstützt OT unter anderem, dass HPC-Schnelllader bis zu 350 kW Leistung liefern. IT hingegen überwacht datengesteuerte Vorgänge wie die Benutzerauthentifizierung, die Zahlungsabwicklung und die Datensynchronisation über Cloud-Plattformen und mobile Anwendungen. Im Zuge der Übertragung von Nutzungsdaten zur Abrechnung und Analyse an einen zentralen Server auf Seiten der beteiligten Akteure – vom Ladesäulenbetreiber über den Stromlieferanten bis hin zum E-Mobilitätsdienstleister – werden öffentliche IT-Infrastrukturen verwendet.
Es handelt sich bei Ladesäulen also um ein IoT-Ökosystem (Internet of Things), das auf Echtzeit-Datenaustausch per Internet setzt und damit fortschrittliche Funktionen wie dynamische Preisgestaltung, Lastenausgleich und Vehicle-to-Grid-Kommunikation (V2G) überhaupt erst ermöglicht. Doch genau diese OT-IT-Konvergenz bewirkt, dass Ladesäulen ins Zentrum der Aufmerksamkeit von Angreifern rücken.
Ladestationen als risikoreiche Schnittstelle zwischen OT und IT
Das Fatale: In diesem Cyber-Physischen System (CPS) kann die Kompromittierung eines Bereichs direkte Auswirkungen auf einen anderen haben. Wenn Angreifer also bekannte Schwachstellen in veralteter Software innerhalb vernetzter Apps ausnutzen, ist es durchaus denkbar, dass sie Kontrolle über OT-Funktionen übernehmen, weitere Sicherheitsmechanismen umgehen und konkreten Schaden anrichten.
In dem Zusammenhang sind Ladestationen vergleichbar mit kleinen Umspannwerken. Anders als diese stehen sie jedoch nicht an besonders gesicherten Standorten, sondern im öffentlichen Raum, wo sie für jeden leicht zugänglich sind. Und es werden immer mehr: Der Masterplan Ladeinfrastruktur 2030 der Bundesregierung [1] verfolgt das Ziel, bis 2030 ein flächendeckendes Netz zu schaffen und die Marke von 1 Mio. Ladepunkten zu knacken. Die Anforderungen an die Cybersicherheit finden in diesem Masterplan zwar kurz Erwähnung, konkrete Details bleiben allerdings aus.
Offene Flanken in vielerlei Hinsicht
Grundsätzlich gilt: Die Cybersicherheitsrisiken an den OT-IT-Konvergenzpunkten beim Laden von Elektrofahrzeugen umfassen ein breites Spektrum, das von Datendiebstahl bis hin zu großflächigen Störungen reicht. Die Gefahr bezieht sich dabei auf folgende Schlüsselbereiche: Kommunikationsprotokolle, Lieferkette und physische Zugangspunkte.
Kommunikationsprotokolle im Fokus der Angreifer
Vor allem Kommunikationsprotokolle, insbesondere das Open Charge Point Protocol (OCPP), stellen eine nicht zu unterschätzende Angriffsfläche dar. Im Jahr 2024 identifizierten Forscher mehrere Zero-Day-Schwachstellen im OCPP [2], die einen unbefugten Zugriff auf Lademanagementsysteme ermöglichten. Über solche wunden Punkte sind Angreifer potenziell in der Lage, Ladevorgänge zu unterbrechen, Abrechnungen zu manipulieren oder sogar Schadsoftware auf angeschlossene Fahrzeuge zu übertragen.
Ein Beispiel dafür liefert die 2024 bei der AC-Ladesteuerung Phoenix Contact CHARX SEC-3000 entdeckte Schwachstelle CVE-2024-25998 (Command Injection ohne Authentifizierung) [3]. Ursache für die Schwachstelle ist eine unsachgemäße Eingabevalidierung im OCPP-Dienst, insbesondere bei der Verarbeitung von Meldungen zur Firmware-Aktualisierung. Dadurch wird der Weg frei für bösartige Malware, über die Cyberkriminelle beliebige Befehle in ein System einschleusen und dadurch weiteren Code ausführen können. Hierbei lassen sich nicht-maskierte Benutzereingaben in Protokollfeldern missbrauchen, z. B. Parameter im Firmware-Aktualisierungsprozess. Die Folge sind Änderungen in der Konfiguration oder sogar dauerhafte Manipulationen an Systemdateien. Für die oben beschriebene Schwachstelle stehen längst Sicherheitsupdates bereit, die dieses Problem beheben. Die Erfahrung zeigt aber, dass die Zuständigkeiten ungeklärt sind. Denn wer ist verantwortlich für die Installation der Updates?
Zusätzliche Komplexität durch Lieferketten
Eine weitere offene Flanke zeigt sich im Hinblick auf die Lieferkette. Schließlich setzt sich die beim Laden zum Tragen kommende Hardware in der Regel aus Komponenten eines globalen Netzwerks von Zulieferern zusammen, was zahlreiche Möglichkeiten für eingebettete Malware oder Hintertüren schafft.
Dieses Risiko wird durch den modularen Aufbau von Ladestationen noch verstärkt: Firmware, Chips oder Softwarebibliotheken von Drittanbietern können bereits während der Herstellung oder im Zuge der Verteilung kompromittiert werden. So ist es möglich, dass Angreifer bösartigen Code in die Bootloader-Firmware oder Kommunikationsmodule einschleusen und auf diese Weise Ladestationen in permanente Gefahrenquellen verwandeln, die Daten exfiltrieren oder sich jederzeit für koordinierte Angriffe aktivieren lassen.
Nicht verifizierte Elemente der Lieferkette, wie handelsübliche Mikrocontroller von nicht geprüften Anbietern, können ähnliche Schwachstellen mit sich bringen, wie wir sie bereits bei größeren Angriffen gesehen haben. Ein einzelnes infiziertes Bauteil könnte dann dazu führen, dass sich Malware flächendeckend verbreitet, klassische Sicherheitsscans ihre Wirkung verlieren und die Fernsteuerung der Stromversorgung oder von Datenflüssen in die Hände von Kriminellen fällt.
Manipulation an physischen Zugangspunkten
Last but not least dürfen an dieser Stelle physische Übergriffe nicht vergessen werden. Im Szenario einer böswilligen Hardware-Implantation kann ein Angreifer direkt auf ein Gerät zugreifen und Malware einschleusen, um dauerhafte Kontrolle zu gewinnen. Ein perfektes Beispiel sind Keylogger (als Hard- oder Software, die dazu verwendet wird, die Eingaben des Benutzers an einem Eingabegerät zu protokollieren und damit zu überwachen oder zu rekonstruieren) oder kleine drahtlose Sender (wie Mobilfunkmodule oder Bluetooth-Geräte), die in Schnittstellen von Ladestationen missbräuchliche Wirkung entfalten.