IT-Sicherheit: Ladesäulen für E-Autos mit einfachsten Mitteln zu hacken...
Hallo Zusammen,
wie ihr wisst, bin ich ein großer Freund elektrischer Mobilität. Leider ist Deutschland eher ein Entwicklungsland auf diesem Gebiet – der deutschen Verbrenner-Lobby sei Dank.
Doch was jetzt auf den 34. Kongress des Chaos-Computer Clubs aufgedeckt wurde, dass schlägt dem Fass den Boden aus…
Mathias Dalheimer konnte zeigen, dass die typischen Ladesäulen, bei denen Wechselstrom genutzt wird, mit simpelsten Methoden gehackt werden können. Über 6.000 solcher Ladesäulen gibt es bereits in Deutschland.
Also, was ist genau das Problem?
1. Die verbaute Elektronik ist nur durch wenige Schrauben geschützt.
2. Die Authentifizierung des Nutzers über Ladekarten oder RFID-Token erfolgt komplett unverschlüsselt.
3. Der gesamte Datenverkehr zwischen Säule und Backend erfolgt unverschlüsselt im http-Format.
4. Auf dem Mainboard der Ladesäulen befindet sich ein USB-Port über den mit einfachsten Mitteln die Logdateien der Ladesäule ausgelesen werden können.
5. Es ist also mit einfachsten IT-Kenntnissen möglich, die User-ID von anderen Nutzern auszuspähen und dann eine eigene Ladekarte mit diesen Daten zu erstellen und fortan für locker einen Monat auf Kosten eines anderen Nutzers zu laden. Denn die Abrechnung erfolgt typischerweise nur monatlich.
6. So wie es aussieht, lassen sich sogar User-ID´s raten und das System würde die Ladesäule freigeben, obwohl der User gar nicht im System hinterlegt ist.
Simpelste IT-Richtlinien wurden hier grob missachtet! Es ist einfach nur unglaublich. Noch schlimmer ist, dass Herr Dalheimer keinen Ansprechpartner bzgl. dieser Problematik fand.
Bei allem Glauben an den technischen Fortschritt – so gibt das nix! Leider ist es in vielen Bereichen so, das IT-Sicherheit nicht von vorneherein im Projekt berücksichtigt wird, sondern oft erst dann, wenn das Projekt fast fertig ist. Denn IT-Sicherheit kostet Geld! Wenn aber die gesamte Architektur bereits fertig ist lassen sich Sicherheitsaspekte kaum noch berücksichtigen. Wenn dies bei Ladesäulen für mehrere tausend Euro pro Säule schon nicht beachtet wird, möchte ich mir lieber nicht vorstellen, was mit dem „Internet of things“ noch für nette Späße auf uns warten. Denn wenn Glühbirne, Heizung und Kühlschrank mit billigst programmierter Software mit dem nackten Ar… im Internet hängen und es sofort nach dem Kauf schon keine Updates mehr gibt, dann waren wannaCry und Co waren sicher nur der Anfang!
So wie es aussieht, sind die neuen CCS und CHAdeMO Ladesäulen nach einer gänzlich anderen Norm spezifiziert! Hoffen wir mal, dass Sicherheitsaspekte hier entsprechend berücksichtigt wurden.
Wen der Vortrag interessiert, hier der Link!
Viele Grüße und allen einen guten Rutsch!
smiths74
PS: Bevor die Rumhackerei auf Tesla wieder losgeht...Tesla gilt als absolut vorbildlich beim Thema IT-Sicherheit und hat ja, Gott sei Dank, ein eigenes Ladenetzwerk!
--
Optimismus ist Mangel an Information.
Pessimismus ist Mangel an Inspiration.