Jul 21, 2023
Das Hacken von Ladegeräten für Elektrofahrzeuge stellt ein „katastrophales“ Risiko dar
Tik Root Diese Geschichte wurde gemeinsam mit Grist veröffentlicht, einer gemeinnützigen Medienorganisation, die sich mit Klima, Gerechtigkeit und Lösungen beschäftigt. Als sein elektrischer Kia EV6 zur Neige ging, fuhr Sky Malcolm an eine Bank
Tik-Wurzel
Diese Geschichte wurde gemeinsam mit Grist veröffentlicht, einer gemeinnützigen Medienorganisation, die sich mit Klima, Gerechtigkeit und Lösungen befasst.
Als sein elektrischer Kia EV6 zur Neige ging, hielt Sky Malcolm an einer Reihe von Schnellladestationen in der Nähe von Terre Haute, Indiana, um ihn anzuschließen. Als sein Auto anfuhr, warf er einen Blick auf nahegelegene Ladegeräte. Einer stach besonders hervor.
Anstelle des sachlichen Begrüßungsbildschirms, der auf den anderen Einheiten von Electrify America angezeigt wurde, war hier ein Bild von Präsident Biden zu sehen, der mit dem Finger zeigte und sagte: „Das habe ich getan!“ Untertitel. Es war das gleiche Meme, das die Kritiker des Präsidenten letztes Jahr an die Zapfsäulen klatschten, als die Preise in die Höhe schossen, und das 20 Mal über den Bildschirm geklont wurde.
„Es war leider nicht besonders überraschend“, sagt Malcolm über den Hack, über den er letzten Herbst gestolpert ist. Solche Spielereien kommen immer häufiger vor. Zu Beginn des Krieges in der Ukraine optimierten Hacker Ladestationen entlang der Autobahn Moskau–Sankt Petersburg in Russland, um Benutzer mit Anti-Putin-Botschaften zu begrüßen. Etwa zur gleichen Zeit programmierten Cybervandalen in England öffentliche Ladegeräte für die Ausstrahlung von Pornografie. Erst in diesem Jahr twitterten die Moderatoren des YouTube-Kanals The Kilowatts ein Video, das zeigte, dass es möglich war, die Kontrolle darüber zu übernehmen das Betriebssystem einer Electrify America-Station.
Während solche Verstöße bisher relativ harmlos blieben, gehen Cybersicherheitsexperten davon aus, dass die Folgen durch wirklich ruchlose Täter weitaus schwerwiegender wären. Da Unternehmen, Regierungen und Verbraucher bestrebt sind, mehr Ladegeräte zu installieren, könnten die Risiken nur noch zunehmen. In den letzten Jahren haben Sicherheitsforscher und White-Hat-Hacker weitreichende Schwachstellen in mit dem Internet verbundener häuslicher und öffentlicher Ladehardware identifiziert, die Kundendaten preisgeben und kompromittieren könnten Wi-Fi-Netzwerke zerstören und im schlimmsten Fall die Stromnetze lahmlegen. Angesichts der Gefahren beeilen sich alle, vom Gerätehersteller bis zur Biden-Regierung, diese immer häufiger vorkommenden Maschinen zu verstärken und Sicherheitsstandards festzulegen.
„Das ist ein großes Problem“, sagt Jay Johnson, Cybersicherheitsforscher bei den Sandia National Laboratories. „Es ist möglicherweise eine sehr katastrophale Situation für dieses Land, wenn wir das nicht richtig machen.“
Gregory Barber
Adrienne So
Julian Chokkattu
Matt Simon
Schwachstellen in der Sicherheit von Ladegeräten für Elektrofahrzeuge sind nicht schwer zu finden. Johnson und seine Kollegen fassten bekannte Mängel in einem Artikel zusammen, der letzten Herbst in der Zeitschrift Energies veröffentlicht wurde. Sie fanden alles, von der Möglichkeit, dass Hacker Benutzer verfolgen können, bis hin zu Schwachstellen, die „Heim- und Unternehmensnetzwerke (Wi-Fi) einem Angriff aussetzen könnten“. Eine andere von der Concordia University durchgeführte und letztes Jahr in der Fachzeitschrift Computers & Security veröffentlichte Studie zeigte mehr als ein Dutzend Klassen „schwerwiegender Schwachstellen“ auf, darunter die Möglichkeit, Ladegeräte aus der Ferne ein- und auszuschalten sowie Malware einzusetzen. Als britischer Sicherheitsdienst Das Forschungsunternehmen Pen Test Partners hat 18 Monate lang sieben beliebte Ladegerätemodelle für Elektrofahrzeuge analysiert und dabei festgestellt, dass fünf davon kritische Mängel aufwiesen. Beispielsweise wurde ein Softwarefehler im beliebten Chargepoint-Netzwerk identifiziert, den Hacker wahrscheinlich ausnutzen könnten, um vertrauliche Benutzerinformationen abzurufen (das Team hörte mit der Suche auf, bevor es an solche Daten gelangte). Ein in Großbritannien von Project EV verkauftes Ladegerät ermöglichte es Forschern, seine Firmware zu überschreiben.
Solche Cracks könnten es Hackern möglicherweise ermöglichen, auf Fahrzeugdaten oder Kreditkarteninformationen von Verbrauchern zuzugreifen, sagt Ken Munro, Mitbegründer von Pen Test Partners. Die vielleicht besorgniserregendste Schwäche für ihn war jedoch, dass sein Team wie bei den Concordia-Tests herausfand, dass viele der Geräte es Hackern ermöglichten, den Ladevorgang nach Belieben zu stoppen oder zu starten. Das könnte dazu führen, dass frustrierte Fahrer keine volle Batterie haben, wenn sie eine brauchen, aber es sind die kumulativen Auswirkungen, die wirklich verheerend sein könnten.
„Es geht nicht um Ihr Ladegerät, sondern um das Ladegerät aller gleichzeitig“, sagt er. Viele Privatanwender lassen ihre Autos an Ladegeräten angeschlossen, auch wenn sie keinen Strom beziehen. Sie könnten beispielsweise nach der Arbeit einstecken und das Aufladen des Fahrzeugs über Nacht planen, wenn die Preise niedriger sind. Wenn ein Hacker Tausende oder Millionen Ladegeräte gleichzeitig ein- oder ausschalten würde, könnte das ganze Stromnetze destabilisieren oder sogar lahmlegen. „Wir haben versehentlich eine Waffe geschaffen, die Nationalstaaten gegen unser Stromnetz einsetzen können“, sagt Munro. Die Vereinigten Staaten konnten bereits im Jahr 2021 erahnen, wie ein solcher Angriff aussehen könnte, als Hacker die Colonial Pipeline kaperten und landesweit die Benzinversorgung unterbrachen. Der Angriff endete, nachdem das Unternehmen ein Lösegeld in Millionenhöhe gezahlt hatte.
Munros wichtigste Empfehlung an Verbraucher ist, ihre Heimladegeräte nicht an das Internet anzuschließen, was die Ausnutzung der meisten Schwachstellen verhindern dürfte. Der Großteil der Schutzmaßnahmen muss jedoch von den Herstellern kommen.
„Es liegt in der Verantwortung der Unternehmen, die diese Dienste anbieten, dafür zu sorgen, dass sie sicher sind“, sagt Jacob Hoffman-Andrews, leitender Techniker bei der Electronic Frontier Foundation, einer gemeinnützigen Organisation für digitale Rechte. „Bis zu einem gewissen Grad muss man dem Gerät vertrauen, an das man es anschließt.“ Electrify America lehnte eine Interviewanfrage ab. Bezüglich der von Malcolm und den Kilowatts dokumentierten Probleme schrieb Sprecher Octavio Navarro in einer E-Mail, dass die Vorfälle isoliert seien und die Lösungen schnell umgesetzt würden. In einer Erklärung sagte das Unternehmen: „Electrify America überwacht und verstärkt ständig Maßnahmen, um uns und unsere Kunden zu schützen, und konzentriert sich auf ein risikominderndes Stations- und Netzwerkdesign.“
Gregory Barber
Adrienne So
Julian Chokkattu
Matt Simon
Pen Test Partners schrieb in seinen Ergebnissen, dass die Unternehmen im Großen und Ganzen auf die Behebung der von ihnen identifizierten Schwachstellen reagierten, wobei ChargePoint und andere Lücken in weniger als 24 Stunden füllten (obwohl ein Unternehmen eine neue Lücke schuf, während es versuchte, die alte zu schließen). Project EV reagierte nicht auf Pen-Test-Partner, implementierte aber schließlich „starke Authentifizierung und Autorisierung“. Experten argumentieren jedoch, dass es für die Branche längst an der Zeit ist, über diesen einfachen Ansatz in Sachen Cybersicherheit hinauszugehen.
„Jeder weiß, dass dies ein Problem ist, und viele Menschen versuchen herauszufinden, wie sie es am besten lösen können“, sagt Johnson und fügt hinzu, dass er Fortschritte gesehen habe. Beispielsweise sind viele öffentliche Ladestationen auf sicherere Methoden der Datenübertragung umgerüstet. Aber was einen koordinierten Satz von Standards angeht, sagt er: „Es gibt da draußen nicht viel Regulierung.“
Es gibt einige Bewegungen, dies zu ändern. Das überparteiliche Infrastrukturgesetz von 2021 sieht rund 7,5 Milliarden US-Dollar für den Ausbau des Ladenetzes für Elektrofahrzeuge in den USA vor, und die Biden-Regierung hat Cybersicherheit zu einem Teil dieser Initiative gemacht. Im vergangenen Herbst versammelte das Weiße Haus Hersteller und politische Entscheidungsträger, um einen Weg zu besprechen, wie sichergestellt werden kann, dass die immer wichtiger werdende Ladehardware für Elektrofahrzeuge ordnungsgemäß geschützt wird. „Unsere kritische Infrastruktur muss ein grundlegendes Maß an Sicherheit und Belastbarkeit erfüllen“, sagt Harry Krejsa, Chefstratege bei das Büro des National Cyber Director im Weißen Haus. Er argumentierte auch, dass es bei der Stärkung der Cybersicherheit von Elektrofahrzeugen sowohl um den Aufbau von Vertrauen als auch um die Risikominderung gehe. Sichere Systeme, sagt er, „geben uns das Vertrauen in unsere digitalen Grundlagen der nächsten Generation, um höhere Ziele zu erreichen, als wir es sonst hätten erreichen können.“
Anfang dieses Jahres hat die Federal Highway Administration eine Regelung verabschiedet, die Staaten dazu verpflichtet, „angemessene“ Cybersicherheitsstrategien für Ladegeräte umzusetzen, die im Rahmen des Infrastrukturgesetzes finanziert werden. Johnson sagt jedoch, dass die Verordnung Geräte ausschließt, die außerhalb dieser Erweiterung installiert werden, ganz zu schweigen von den mehr als 100.000 Einheiten, die landesweit bereits vorhanden sind. Außerdem, sagt er, hätten die Bundesstaaten nicht viele Einzelheiten zu ihren Maßnahmen bekannt gegeben. „Wenn man sich die staatlichen Pläne genauer ansieht, stellt man fest, dass sie die Cyber-Anforderungen tatsächlich äußerst gering halten“, sagt er. „Die überwiegende Mehrheit, die ich gesehen habe, sagte nur, dass sie Best Practices befolgen werden.“
Was genau „Best Practice“ ist, ist noch unklar. Johnson und seine Kollegen bei Sandia veröffentlichten Empfehlungen für Ladegerätehersteller und stellten fest, dass das National Institute of Standards and Technology einen Rahmen für Schnellladen entwickelt, der bei der Gestaltung künftiger Vorschriften helfen könnte. Aber letztendlich würde er sich so etwas wie den Protecting and Transforming Cyber Health Care Act 2022 wünschen, der auf Elektrofahrzeuge ausgerichtet ist.
„Regulierung ist eine Möglichkeit, die gesamte Branche dazu zu bringen, ihre grundlegenden Sicherheitsstandards zu verbessern“, sagt er und verweist auf aktuelle Gesetze in anderen Ländern als Vorbilder oder Ausgangspunkte für politische Entscheidungsträger in den Vereinigten Staaten. Im vergangenen Jahr hat das Vereinigte Königreich beispielsweise eine Reihe von Anforderungen für Ladegeräte für Elektrofahrzeuge eingeführt, darunter verbesserte Verschlüsselungs- und Authentifizierungsstandards, Warnmeldungen zur Manipulationserkennung und eine zufällige Verzögerungsfunktion.
Letzteres bedeutet, dass ein Ladegerät in der Lage sein muss, sich mit einer zufälligen Zeitverzögerung von bis zu 10 Minuten ein- und auszuschalten. Dies würde die Auswirkungen abschwächen, wenn nach einem Stromausfall oder einem Hackerangriff alle Ladegeräte in einem Gebiet gleichzeitig online gehen. „Diese Spitze gibt es nicht, das ist großartig“, sagt Munro. „Es beseitigt die Bedrohung aus dem Stromnetz.“
Johnson ist optimistisch, dass sich die Branche in die richtige Richtung bewegt, wenn auch langsamer als ideal. „Ich kann mir nicht vorstellen, dass es [strengere Standards] nicht geben wird. Es dauert einfach lange“, sagt er. Und er möchte auf keinen Fall unnötigen Alarm auslösen, sondern einen stetigen Druck auf Verbesserungen ausüben.
„Es ist beängstigend“, sagt er, „aber es sollte keine Panikmache sein.“