Die Bundesnetzagentur zählt heute in Deutschland über 200.000 öffentliche Ladepunkte. Da stellt sich natürlich die Frage, wie sicher diese schnell wachsende Infrastruktur für Elektroautos ist. Nun hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen mit dem Bundesministerium für Verkehr (BMV) erstmals einen Lagebericht zur IT-Sicherheit der öffentlichen Ladeinfrastruktur vorgelegt. Der zeigt: Es gibt zwar sicherheitsrelevante Normen, in der Praxis werden sie aber längst nicht überall umgesetzt und es besteht ein wachsendes Sicherheitsrisiko.
Dabei geht es nicht nur die Gefahr von Störungen einzelner Ladevorgänge. Schließlich sind Ladesäulen inzwischen an vielen Punkten mit E-Autos, Backend-Systemen, Zahlungsdiensten und dem Stromnetz vernetzt, wodurch Sicherheitslücken hier auch zu einem Risiko für größere Teile des Lade- und Energiesystems werden können.
Konkret geht aus dem Bericht hervor, dass ISO 15118 und OCPP die Sicherheitsanforderungen bereits deutlich verbessert haben und „in vielen Bereichen dem Stand der Technik“ entsprechen. Allerdings werden Sicherheitsmechanismen wie moderne Kryptografie, Sperrlisten oder Transportverschlüsselung oft nur eingeschränkt implementiert, da die Abwärtskompatibilität zu älteren Systemen erhalten werden soll. Gleichzeitig sind teilweise noch proprietäre Protokolle im Einsatz. Das bringt das BSI zur Forderung nach einem „Paradigmenwechsel hin zu verpflichtendem Security-by-Design und Security-by-Default“.
Blinde Flecken bei Backend und Protokollen
Eine weitere sicherheitsrelevante Lücke sieht der Bericht in der bislang nur begrenzten Untersuchung von Backend-Systemen, etwa für die Abrechnung und das Lastmanagement. Die wissenschaftliche Datenlage zum Stand der Sicherheit sei hier eher theoretisch denn praxisnah, da bisherige Sicherheitsanalysen eben meist nur Teilbereiche untersuchen und das Backend dabei meist nicht beachtet wird. Um das in Zukunft zu ändern, werden mehr empirische Analysen, die sich an realen Bedrohungsszenarien orientieren, sowie strukturierte Schwachstellenforschung und eine verantwortungsvolle Offenlegung entdeckter Schwachstellen gefordert.
Das BSI sieht in der Verwendung vieler verschiedener Protokolle für gleiche Kommunikationsabschnitte ein weiteres Problem. Dadurch wird schließlich die potenzielle Angriffsfläche erhöht und die Interoperabilität zwischen verschiedenen Herstellern und Betreibern unnötig erschwert. Einheitliche Vorgaben zu Kommunikationsstandards und Sicherheitsanforderungen würden beides verbessern.
Regulatorischer Flickenteppich erhöht das Sicherheitsrisiko
Die mangelnde Einheitlichkeit findet sich auch in dem regulatorischen Flickenteppich wieder, der zurzeit besteht: Anforderungen ergeben sich bisher aus einer Vielzahl von Gesetzen, Verordnungen und technischen Vorgaben, von denen viele nicht verbindlich sind, was das Risiko uneinheitlicher Umsetzung erhöht. Besonders schwach reguliert sind dem BSI zufolge die Bereiche der Authentifizierung und Autorisierung, die Bezahlung von Ladevorgängen, sowie die Datensicherheit bei der Kommunikation der Ladeinfrastruktur mit Elektroautos und Backend-Systemen.
Zusatzvorgaben für Akteure wie Ladeelektronikhersteller und Netzbetreiber sind rechtlich meist nicht bindend. Gleichzeitig stützen sich die Anforderungen für E-Mobilitätsdienstleister und Ladestationsbetreiber vor allem auf allgemeine Regelwerke wie CRA, NIS-2, AFIR und LSV, während einheitliche und verbindliche Sicherheitsstandards auf Komponenten- und Systemebene bisher weitgehend fehlen.
Ein weiteres Problemfeld identifiziert das BSI schließlich bei den Prüfstellen. So laufen Auditaktivitäten oft fragmentiert ab und es gibt Überschneidungen in den Verantwortlichkeiten von Behörden, Prüfdienstleistern und Zertifizierungsstellen. Prüfungen konzentrieren sich bisher in vielen Fällen nur auf Kommunikationsprotokolle oder Einzelkomponenten wie Messgeräte. Für andere wichtige Komponenten wie Public-Key-Infrastrukturen oder Energy-Management-Systeme gibt es bislang jedoch keine klar definierten Prüfprozesse.
Der Bericht macht also deutlich, dass die Absicherung der öffentlichen Ladeinfrastruktur nicht in allen Bereichen mit ihrem schnellen Wachstum mithalten kann. Was es jetzt braucht, sind laut BSI vor allem verbindliche Sicherheitsstandards, praxisnähere Forschung, strukturierte Schwachstellenanalysen sowie transparente Prüfverfahren. Regulierung, Standardisierung und Prüfprozesse müssen dafür enger ineinandergreifen. Denn mit der engeren Vernetzung von Ladesäulen mit dem Energie- und Mobilitätssystem steigen auch die Relevanz ihrer IT-Sicherheit und die Gefahr von Sicherheitslücken.
Quellen: BSI – IT-Sicherheit öffentlicher Ladeinfrastruktur / Ingenieur.de – Wie sicher sind öffentliche Ladesäulen?








Wird geladen...