Sicherheitsrisiken von E-Auto-Ladestationen

Gastautor Thomas Ernst von Check Point warnt vor „aufgeschraubter, aber nicht eingebauter Cybersicherheit” bei E-Auto-Ladestationen.

Angaben der International Energy Agency (IEA) zur Folge stieg im vergangenen Jahr der weltweite Absatz von Elektrofahrzeugen um 60 Prozent. Jeder siebte weltweit gekaufte Pkw war ein EV. Die Verbrauchernachfrage nach E-Fahrzeugen ist so hoch wie nie zuvor, aber das Wachstum dieses Sektors kann zu nie dagewesenen Sicherheitsherausforderungen führen.

Die Branche befindet sich mitten in einer rasanten Expansionsphase. Überall auf der Welt tauchen neue Ladestationen für Elektrofahrzeuge auf Parkplätzen und an Straßenecken auf. Die neuen Installationen könnten jedoch Cyber-Angreifer dazu veranlassen, die Ladenetzwerke, die Fahrzeuge selbst und/oder die angeschlossenen Stromnetze ins Visier zu nehmen.

Cyberrisiken bei EV-Ladegeräten

Bei vielen vernetzten Geräten hat das Wettrennen um die Markteinführung dazu geführt, dass Maßnahmen zur Cybersicherheit nur „aufgeschraubt“, aber nicht eingebaut wurden. Mit anderen Worten: Die Cybersicherheit wurde größtenteils nachträglich eingebaut. Im Fall von Ladestationen für Elektrofahrzeuge ist dies eine besonders beunruhigende Aussicht, da die Ladestationen mit anderen Infrastrukturen vernetzt sind. Das National Institute of Standards and Technology (NIST) hat sich zum Ausmaß der Cybersicherheitsprobleme im Zusammenhang mit Ladestationen für Elektrofahrzeuge geäußert:

„EVSE [Electric Vehicle Supply Equipment] wird von Elektronik unterstützt, sowohl für das Aufladen des Fahrzeugs als auch für die Kommunikation, so dass EVSE anfällig für Cybersicherheitsschwachstellen und Angriffe ist. EVSE verbindet außerdem zwei kritische Sektoren – Transport und Energie (insbesondere das Stromnetz) -, die bisher nicht elektronisch miteinander verbunden waren. Dies birgt das Potenzial für Angriffe, die erhebliche Auswirkungen in Bezug auf Geld, Geschäftsunterbrechungen und die Sicherheit von Menschen haben können.“

Risiko des Komplettausfalls von Ladeinfrastruktur 

Cyberangriffe, die Schwachstellen von Ladestationen ausnutzen, könnten zu Stromschwankungen und Stromausfällen führen, da die Angriffe die Anforderungen an das Ladenetz plötzlich verändern würden. Cyberangriffe könnten aber auch die Ladeinfrastruktur komplett lahmlegen, so dass Autofahrer gestrandet wären. Dies wäre vergleichbar mit der Unterbrechung der Treibstoffversorgung, wie sie an der Ostküste der USA während des Sicherheitsvorfalls bei der Colonial Pipeline beinahe eingetreten wäre.

Die oben genannten Beispiele sind nur eine Handvoll der unangenehmen Szenarien, über die Forscher im Bereich der Cybersicherheit und der Versorgungseinrichtungen für Elektrofahrzeuge geschrieben haben. Einige sind bereits auf Schwachstellen gestoßen, die es Cyberkriminellen ermöglichen könnten, Ladegeräte für Elektrofahrzeuge aus der Ferne abzuschalten oder Strom zu stehlen.

Risikominimierung möglich

Die folgenden vier Empfehlungen geben einen Überblick über die Möglichkeiten EV abzusichern:

  • Segmentierung von Netzwerk und Hardware

Die Branche sollte vertrauenswürdige Komponenten einsetzen und eine partitionierte Architektur schaffen. Auf diese Weise würde eine Kompromittierung in einem Bereich nicht zwangsläufig zu einer seitlichen Gefahr für einen angrenzenden Bereich werden.

  • Software-Sicherheit

Die Unternehmen im Ökosystem der Elektrofahrzeuge müssen sichere Software verwenden. Die Umsetzung des Prinzips der geringsten Rechte ist von zentraler Bedeutung, da es gewährleistet, dass die Software nach dem Least Privilege-Prinzip arbeitet. Dies hat eine Reihe von Auswirkungen.

  • Etablieren eines Incident Response Prozesses

Hersteller von Elektrofahrzeugen sollten ihre Systeme kontinuierlich auf böswillige Cyber-Aktivitäten überwachen und auf das Auftreten von Cyber-Bedrohungen vorbereitet sein. Unternehmen sollten außerdem MDR/MPR-Lösungen in Betracht ziehen.

  • Sicherheit einbauen, anstatt sie nachträglich zu implementieren

Die Cybersicherheit muss in die Software, den Hardware-Einsatz und andere Abläufe integriert werden. Darüber hinaus muss bei der Diskussion über Cyber-Risiken auch der menschliche Faktor berücksichtigt werden. So müssen beispielsweise Techniker ordnungsgemäß geschult und autorisiert werden, bevor sie sich mit der Infrastruktur befassen.

 

 

Thomas Ernst

ist Security Evangelist bei Check Point Software Technologies.