Sicherheitslücke in öffentlichen Ladestationen

Wie seht Ihr die Sicherheitslücke bei den Ladekarten hier speziell NewMotion?

Mit einer einfachen App kann ich die Karte auslesen und mit ein wenig Equipment duplizieren.
Mifare Classic 1 ist schon seit 2008 „geknackt“ und gilt als unsicher.

NewMotion behauptet schriftlich es wäre kein Missbrauch bekannt und man könnte sehr schnell einen Betrug aufdecken.
In meinen Augen allerdings eine „blöde“ Ausrede es sollten schon gar nicht so veraltete Karten verwendet werden.
Sicherheit kostet Geld …

Na ja, ich werde auch die Ladekarte zukünftig in einen Folder stecken der aus Alupapier ist, damit man die Karte nicht durch die
Brieftasche abscannen kann und mir die Ladestationen etwas genauer auf Fremdequipment anschauen.

Es ist ja nicht nur die Kopie, Kartendaten lassen sich auch erraten. Es betrifft nicht nur NewMotion

Schwarzladen 1- 3 gonium.net/

Im Moment sehe ich es nicht kritisch, für mich persönlich. Es ist aber ein ziemliches foul und sollte schnellstmöglich abgestellt werden.

Eine ausführliche Diskussion dazu findet sich auf GoingElectric:
:arrow_right: goingelectric.de/forum/oeff … 27590.html

Dort gibt es auch den Link zur heutigen Vortrag auf dem 34c3:
:arrow_right: streaming.media.ccc.de/34c3/relive/9092

Jetzt sogar auf der Frontpage von Heise:
:arrow_right: heise.de/newsticker/meldung … 28264.html

Nach Auskunft der CCC hat die komplette Ladeinfrastruktur grosse Schwachstellen was Sicherheit betrifft.
So sind die Ladesäulen nicht manipulationssicher, die Zahlungsprotokolle werden unverschlüsselt übertragen und die Zahlkarten sind leicht kopierbar.

Hier der Vortrag vom 34C3 zu den Sicherheitslücken in den Ladestationen:
34C3 - Ladeinfrastruktur für Elektroautos: Ausbau statt Sicherheit

Wird auch schon hier diskutiert:
:arrow_right: NewMotion Ladekarten Sicherheitslücke

Ich halte das ganze für künstliche Hysterie da die Wahrscheinlichkeit des tatsächlichen Missbrauches und die Höhe des Schadens doch sehr gering ist. Auch ist es ein Problem der Betreiber und nicht der Nutzer, solange der Nutzer irgendwie nachweisen kann dass der zum gegebenen Zeitpunkt nicht an der Ladesäule war. Vor Gericht bliebe der Betreiber auf dem Schaden sitzen.

Der Betrug kann ja auch nicht heimlich erfolgen sondern da steht gegebenenfalls ein Auto mit amtlichen Kennzeichen mehrere Stunden an der Ladesäule.

Letztlich steht der Aufwand für eine Absicherung der gesamten Kette mit SIM Karten und Sicherheitsmodul in keinem Verhältnis zur möglichen Schadenshöhe. Über kurz oder lang kommt sowieso die Fahrzeugidentifizierung, wobei diese heute auch nicht verschlüsselt ist.

@egn Momentan magst Du recht haben, aber spätestens wenn die Elektromobilität im Mainstream ankommt, wird es genug Idioten geben, die mit gefälschten Karten kostenlos Laden wollen.

Da das momentane Kartengewurschtel hoffentlich irgendwann Geschichte sein wird, hoffe ich, dass sich Entwickler des zukünftigen Systems den Vortrag mal anschauen.

Gruß Mathie

IMHO ist das kein „Ladestationen-Problem“ sondern ein RFID Problem.
Aber das klingt natürlich weniger spektakulär.

Naja, als Betreiber einer Ladestation hat man schon die Wahl, welches Protokoll man implementiert oder implementieren lässt. RFID gibt es auch mit ordentlicher Verschlüsselung;)

nur blöd wenn diese Diskussion im Ownersbereich stattfindet, so ist ein Teil der User hier ausgeschlossen :wink:

Ich halte es aus verschiedenen Gründen für komplett falsch, das Problem klein zu reden.

  1. JEDE IT-Infrastruktur gehört abgesichert. Das MUSS einfach Standard sein. Das hat noch nicht mal etwas mit komplexer technischer Absicherung über SIM-Karten o.ä. zu tun, sondern mit den Basics bei der Implementierung von IT-Systemen. Wir erwarten mit Fug und Recht von Tesla, dass alle Systeme gut geschützt sind und dass sie bei Lücken professionell reagieren (was sie anscheinend tun). Dasselbe muss man von der Ladeinfrastruktur erwarten.

  2. Diese Diskussion schadet der E-Mobilität. Da wird es jetzt eine Reihe von Leuten geben, die daraus mitnehmen: Da kann also jemand auf meine Kosten tanken. Das ist doof und hätte nicht sein müssen.

Ciao,
Gerhard

Ich sehe das als nicht kleines Problem an - wenn es auch derzeit nicht sehr kritisch ist.
Erschreckend finde ich allerdings, dass überhaupt noch einen IT-Infrastruktur OHNE Rücksicht auf entsprechende Absicherung aufgesetzt wird. So etwas darf nicht sein - egal in welchem Bereich.
Von daher ist es nicht nur bedauerlich, dass so etwas vorkommt, sondern vor allem, dass die betroffenen Firmen mit Abwiegelung reagieren.

So ist es, eigentlich müssten diese ladekarten wie Kreditkarten behandelt werden, der Verkäufer sollte im Zweifelsfall nachweisen müssen, das kein Missbrauch vorlag.
Selbst ec karten mit PIN sind eigentlich schon so unsicher, das es nicht mehr zumutbar ist, das der Kunde das Sicherheitsrisiko trägt.
Beweislastumkehr und schon bewegt sich was.

Alles richtig, liegt aber am Status den die e-Mobilität bisher hatte.
Unser Stadtwerke verschenken den Strom an den Ladesäulen, man benötigt aber Ladekarten der SWD.
Es wird kein Rooming unterstützt.
Meine Anregung die Säulen im Messmodus zu betreiben damit Gäste laden können wurde erstmal abgelehnt … man möchte seine Kunden kennen.
Das die jetzigen Kunden aus der eigenen Stadt bei einem kostenpflichtigen Angebot dort nicht mehr laden und die anderen auf Grund des fehlenden Roomings nicht laden können war ihnen nicht bewusst.
Dies sollte dann geändert werden. Nach einem Jahr habe ich nach gefragt, es steht noch auf der todo Liste aber ohne Priorität.
Jetzt sind wird wieder ein Jahr weiter, es ist noch nicht passiert.
Die beiden vorhandenen Ladesäulen sind damals mit einem Förderungsprogramm gebaut worden, da war das abgreifen von den Fördergeldern wichtiger als der Einstieg in einen neuen Markt.
Mit unseren hohen Anforderungen an die Ladesäulen wird es aber kaum einen Markt geben mit dem man Geld verdienen kann.
Die Säulen müssen Vandalismus sicher sein, online den Status melden und mit von außen sichtbaren geeichten Zählern versehen sein, usw.
Unter dem mindestens doppelten Preis des Stroms für Haushalte lässt sich da kaum Gewinn machen.
In der Situation wird dann leider auf das billigste Zugangssystem der Hersteller zurückgegriffen und keine eigenen Gedanken zu Sicherheit gemacht.

Haben sich eigentlich schon Opfer zu Wort gemeldet?

Ich stell mir gerade vor, wie Banditen den chip kapern und dann ihr Fahrzeug fremdladen.
Muss ein unglaublich gewinnträchtiges Unternehmen sein.

Der größte Denkfehler ist eigentlich immer die Annahme das man eine Verdopplung des privat Stroms benötigt um gewerblich eine Ladesäule zu betreiben. Die Stromkosten sind das wenigste an Kosten, vorallem wenn Ladesäulen in einem Parkhaus mit PV Dach installiert sind.

Unser user hier „founder“ korrektur, aber die Geschichte mit der 500 MegatausendmillionenWatt Gesellschaft ist so abwägig garnicht. An Energie mangelt es kaum, wenn ich mir den Stromexport allein von Deutschelande so anschaue… Wo sollte der Strom denn hin, wenn nicht in zig Millionen Elektroautos.

Ich war auf dem 34C3 in dem Vortrag und fand ihn sehr interessant.

Besonders spannend fand ich die Wortmeldung eines Entwicklers am Ende des question and answer Teils. Die Sicherheitslücken sind seit 2012 bekannt, die Entwickler weisen darauf hin, aber die Herstellerfirmen der Ladesäulen interessiert es einfach nicht. Das Gleiche musste ich in meiner lokalen WhatsApp-E-Auto Gruppe feststellen. Der Inhalt des Vortrags interessierte die Wenigsten. Und die, die ihn sich überhaupt angesehen haben, haben auch nur abgewunken. Unrealistisches Szenario, wer macht sich denn die Mühe, ist überhaupt nicht relevant, usw.

Wenn derart gravierende Sicherheitslücken bekannt sind, gehören sie abgestellt. Punkt. Und ich möchte nicht das Geschrei hören, wenn bei einem der ignoranten Fahrer auf einmal Buchungen bei TNM oder sonstigen Anbietern auftauchen (die er nicht selbst zu verantworten hat), und die Beträge dann natürlich auch abgebucht werden. Wie will er bei dem demonstrierten Vorgehen denn beweisen, dass er nicht selber geladen hat?

Ich habe die beiden Themen (eins davon war in der Owners Area, das Thema ist aber sowieso öffentlich) zusammengelegt.

Südstromer, wir kennen uns ja persönlich, ich habe dich im persönlichen Gespräch als korrekten und netten Zeitgenossen erlebt. Deine ruppige und teilweise andere User beleidigende Ausdrucksweise steht nicht im Einklang mit den Forumsregeln. Dafür hast du ja schon mal eine Auszeit bekommen. Ich verwarne dich hiermit nochmals und bitte dich, zukünftig etwas respektvoller mit anderen Forumsteilnemern umzugehen.