Warum Cybersicherheit Ladeinfrastrukturen schützt

Cyberangriffe verursachen jährlich Schäden in Milliardenhöhe, allein im Jahr 2022 waren es in Deutschland laut Wirtschaftsschutzbericht 203 Milliarden Euro. In der Vergangenheit kam es vor allem im Ausland zu Angriffen auf die Ladeinfrastruktur für Elektrofahrzeuge. So wurden beispielsweise auf der Isle of Wight Ladeinfrastrukturen gehackt und auf den Bildschirmen nicht jugendfreie Filme abgespielt. Was zunächst wie ein harmloser Jugendstreich aussieht, kann schnell ernst werden. Wenn Hacker etwa die Ladespannung manipulieren und den Akku während des Ladevorgangs überladen, kann das den Akku schwer beschädigen. Auch sogenannte Denial-of-Service-Angriffe in Kombination mit einer Ransomware-Attacke können hohe finanzielle Schäden verursachen. So können Hacker die Ladeinfrastruktur lahmlegen und vom Betreiber einen Geldbetrag erpressen, um sie wieder in Betrieb zu nehmen. Ein weiterer sehr häufiger Angriff ist der Versuch, beim Aufladen des Elektroautos vertrauliche Informationen wie persönliche Daten sowie Kontakt- und Zahlungsinformationen zu erbeuten.

Inhomogene Lösungen erhöhen die Risiken für Angriffe

Aber auch hierzulande steigt mit dem kontinuierlichen Ausbau der Ladeinfrastruktur das Risiko potenzieller Angriffe. Viele internationale Anbieter wollen ein Stück vom Kuchen, sodass beim Ausbau einer Ladeinfrastruktur viele verschiedene Komponenten beteiligt sind, die alle miteinander kommunizieren müssen. Kein Wunder also, dass Ladestationen für Elektromobilität mit der NIS-2-Richtlinie zu den kritischen Infrastrukturen zählen. Eines der größten Risiken für jede einzelne Komponente ist jedoch die Anfälligkeit der Kommunikationsarchitektur für Cyberangriffe. Denn die inhomogene Produkt- und Lösungslandschaft erhöht die Anzahl potenzieller Einfallstore.

Laut einer Studie des Center of Automotive Management (CAM) gehört die Ladeinfrastruktur sogar zu den besonders gefährdeten Angriffszielen von Hackern. Dennoch fehlen klare Richtlinien für ein sicheres Ökosystem. So entstehen Sicherheitslücken, die Hacker ausnutzen können. Haben sie Erfolg, so drohen Betreibern nicht nur hohe Folgekosten, sondern auch Reputationsschäden.

Das Ökosystem der Ladeinfrastruktur besteht aus vier Bereichen, die sich wiederum jeweils aus einer Vielzahl an Komponenten zusammensetzen: Die eigentliche Ladeinfrastruktur in Form von Ladesäulen und Wallboxen sowie die Backend-Cloud mit dem Lade-Managementsystem und dem Energiesystem, das den Strom bereitstellt. Wenn die Komponenten dieser Bereiche nicht richtig miteinander kommunizieren, funktioniert die gesamte Technik nicht und Sicherheitslücken sind vorprogrammiert. Die Kommunikation zwischen den Ladesäulen und dem Abrechnungs-Backend ist zum Beispiel oft unverschlüsselt und damit schlecht geschützt. So können Angreifer Kartennummern von Kunden ernten und möglicherweise fälschen. Auch der unsachgemäße Gebrauch der Ladeinfrastruktur kann zu Sicherheitslücken führen.

Darüber hinaus muss ein reibungsloses Zusammenspiel zwischen dem Ladegerät und der Batterie des Elektrofahrzeugs selbst gewährleistet sein, um wichtige Grenzwerte wie die Ladespannung einzuhalten und damit eine Überladung oder ähnliches zu vermeiden. Zwar verfügen Batterien von Elektroautos eigentlich immer über einen eigenen Schutzmechanismus, Beschädigungen sind aber dennoch denkbar.

Darüber hinaus besteht eine Wechselwirkung zwischen dem Ladegerät und dem Netzanschluss selbst. Dadurch gibt es bestimmte Anforderungen an den Strom (z. B. Stromstärke bei Schnellladung mit 200 A), wenn er exportiert wird. Sowohl die Wechselwirkungen zwischen dem Ladegerät und der Batterie als auch zwischen dem Ladegerät und dem Netzanschluss bieten wiederum Angriffspunkte für Hacker, da die entsprechenden Kommunikationsschnittstellen sehr vulnerabel sind.

Wie wichtig ist Selbstverantwortung bei Cybersecurity?

Wie bereits erwähnt, fehlen oft universelle Richtlinien für die verschiedenen Komponenten, an die sich die Hersteller halten müssen oder zumindest können. Zwar sind bereits existierende Anforderungen noch nicht allgemeingültig, die sich abzeichnende breite Akzeptanz allgemeiner Richtlinien könnte jedoch zu einem Game Changer werden. Das ist auch deshalb wichtig, weil Hersteller meist nur einzelne Komponenten herstellen und keiner den Überblick über alle Funktionen und den Nutzen aller Komponenten hat. Hier sind Verbände und Gesetzgeber gefordert, entsprechende Standardisierungen flächendeckend durchzusetzen.

Hersteller sind jedoch in erster Linie selbst dafür verantwortlich, die aktuellen Anforderungen zum Schutz der Ladeinfrastruktur vor Cyberangriffen zu erfüllen. Dazu sollten sie ihre Ladeinfrastrukturlösungen regelmäßig auf Herz und Nieren prüfen lassen. Mit sogenannten Penetrationstests können Prüforganisationen wie die CSA Group überprüfen, ob Cybersicherheitspraktiken auf dem neuesten Stand sind. Dabei werden alle möglichen Cyber-Risiken getestet. Dazu gehören zum Beispiel die Authentifizierung von Login-Zahlungen, die Übertragung von Zahlungsdaten und authentifizierte Remote-Updates von Software. Vor allem Remote-Verbindungen werden überprüft, damit sich Nutzer auch aus der Ferne sicher einloggen können. Die Prüfer gehen alle möglichen Schritte durch und testen dabei alle Elemente einschließlich der Umwelteinflüsse, um festzustellen, wie Ladegerät und Software reagieren.      

Zusätzlich zu den Tests sollten die Hersteller Technologie- und Markttrends beobachten sowie präventive Sicherheitskonzepte und -maßnahmen einführen und regelmäßig überprüfen. Darüber hinaus ist es sinnvoll, Cybersecurity-Maßnahmen bereits bei der Entwicklung von Produkten und Lösungen zu implementieren. So sollten sich Entwickler im Idealfall bereits zu Beginn des Designzyklus mit Best Practices, Aspekten und Standards der Cybersecurity vertraut machen. Dabei gilt die Devise: Je früher, desto besser – am besten bereits auf Werksebene –, damit Komponenten nicht zum Sicherheitsrisiko werden. Entscheidend dabei ist, dass jedes einzelne hergestellte Produkt die gleichen Anforderungen erfüllt.

Hersteller sollten auch berücksichtigen, dass die Sicherheitsanforderungen je nach Produktkategorie unterschiedlich sein können. Beispielsweise spielt die Cybersicherheit bei persönlichen Mobilitätsgeräten wie E-Fahrrädern oder E-Scootern keine so große Rolle wie bei E-Trucks und Elektroautos. In straßengebundenen Anwendungen ist Cybersicherheit allerdings wichtig, da innerhalb des Elektrofahrzeugs und zwischen Fahrzeug und Ladestation viel kommuniziert wird. Darüber hinaus gibt es Unterschiede im Brandverhalten, etwa bei einem Batteriebrand. Hier ist entscheidend, wie lange es dauert, bis das Ereignis für Menschen gefährlich werden kann. Diese müssen rechtzeitig informiert werden, um sich in Sicherheit bringen zu können. Für Kleingeräte, die eher einen Gebäude- oder Wohnungsbrand auslösen können, gelten andere Anforderungen als für größere Fahrzeuge.

Gesetzgeber steht in der Pflicht

Doch nicht nur die Hersteller sind für ihre Komponenten verantwortlich. Der Gesetzgeber muss auch die relevanten rechtlichen Regelungen so weit wie möglich an die technische Entwicklung anpassen. Heute enthalten vor allem der EU Cyber Resilience Act und der NIST Cybersecurity Framework Profile for EV Charging relevante Regelungen, um die Elektromobilität abzusichern. Viele davon haben jedoch nur empfehlenden Charakter und sind nicht verpflichtend.

Daher ist es wichtig, dass Verbände und Normungsorganisationen technische Normen entwickeln, die den aktuellen und zukünftigen technologischen Trends sowie der Gefährdungslage Rechnung tragen. Darüber hinaus wäre es sinnvoll, die technischen Standards zwischen den Regionen zu vereinheitlichen und deren Einhaltung verbindlich zu machen. Dazu gehören auch Cybersicherheitslösungen.