Den Angaben der International Energy Agency (IEA) zur Folge stieg im vergangenen Jahr der weltweite Absatz von Elektrofahrzeugen (Electric Vehicles, EVs) um 60 Prozent. Jeder siebte weltweit gekaufte Pkw war ein EV. Im Gegensatz dazu war nur fünf Jahre zuvor nur eines von 70 gekauften Autos ein Elektrofahrzeug. Die Verbrauchernachfrage nach E-Fahrzeugen ist so hoch wie nie zuvor, aber das Wachstum dieses Sektors kann zu nie dagewesenen Sicherheitsherausforderungen führen.
Die Branche befindet sich mitten in einer rasanten Expansionsphase. Überall auf der Welt tauchen neue Ladestationen für Elektrofahrzeuge auf Parkplätzen und an Straßenecken auf. Die neuen Installationen könnten jedoch Cyber-Angreifer dazu veranlassen, die Ladenetzwerke, die Fahrzeuge selbst und/oder die angeschlossenen Stromnetze ins Visier zu nehmen.
Cyberrisiken bei EV-Ladegeräten
Bei vielen vernetzten Geräten hat das Wettrennen um die Markteinführung dazu geführt, dass Maßnahmen zur Cybersicherheit nur „aufgeschraubt“, aber nicht eingebaut wurden. Mit anderen Worten: Die Cybersicherheit wurde größtenteils nachträglich eingebaut. Im Fall von Ladestationen für Elektrofahrzeuge ist dies eine besonders beunruhigende Aussicht, da die Ladestationen mit anderen Infrastrukturen vernetzt sind. Das National Institute of Standards and Technology (NIST) hat sich zum Ausmaß der Cybersicherheitsprobleme im Zusammenhang mit Ladestationen für Elektrofahrzeuge geäußert:
„EVSE [Electric Vehicle Supply Equipment] wird von Elektronik unterstützt, sowohl für das Aufladen des Fahrzeugs als auch für die Kommunikation, so dass EVSE anfällig für Cybersicherheitsschwachstellen und Angriffe ist. EVSE verbindet außerdem zwei kritische Sektoren – Transport und Energie (insbesondere das Stromnetz) -, die bisher nicht elektronisch miteinander verbunden waren. Dies birgt das Potenzial für Angriffe, die erhebliche Auswirkungen in Bezug auf Geld, Geschäftsunterbrechungen und die Sicherheit von Menschen haben können.“
Cyberangriffe, die Schwachstellen von Ladestationen ausnutzen, könnten zu Stromschwankungen und Stromausfällen führen, da die Angriffe die Anforderungen an das Ladenetz plötzlich verändern würden. Cyberangriffe könnten aber auch die Ladeinfrastruktur komplett lahmlegen, so dass Autofahrer gestrandet wären. Dies wäre vergleichbar mit der Unterbrechung der Treibstoffversorgung, wie sie an der Ostküste der USA während des Sicherheitsvorfalls bei der Colonial Pipeline beinahe eingetreten wäre.
Die oben genannten Beispiele sind nur eine Handvoll der unangenehmen Szenarien, über die Forscher im Bereich der Cybersicherheit und der Versorgungseinrichtungen für Elektrofahrzeuge geschrieben haben. Einige sind bereits auf Schwachstellen gestoßen, die es Cyberkriminellen ermöglichen könnten, Ladegeräte für Elektrofahrzeuge aus der Ferne abzuschalten oder Strom zu stehlen.
Tipps zur Risikominimierung
Die folgenden vier Empfehlungen geben einen Überblick über die Möglichkeiten EV abzusichern:
- Segmentierung von Netzwerk und Hardware. Die Branche sollte vertrauenswürdige Komponenten einsetzen und eine partitionierte Architektur schaffen. Auf diese Weise würde eine Kompromittierung in einem Bereich nicht zwangsläufig zu einer seitlichen Gefahr für einen angrenzenden Bereich werden.
- Software-Sicherheit. Die Unternehmen im Ökosystem der Elektrofahrzeuge müssen sichere Software verwenden. Die Umsetzung des Prinzips der geringsten Rechte ist von zentraler Bedeutung, da es gewährleistet, dass die Software nach dem Least-Privilege-Prinzip arbeitet. Dies hat eine Reihe von Auswirkungen.
- Etablieren eines Incident-Response-Prozesses. Hersteller von Elektrofahrzeugen sollten ihre Systeme kontinuierlich auf böswillige Cyber-Aktivitäten überwachen und auf das Auftreten von Cyber-Bedrohungen vorbereitet sein. Unternehmen sollten außerdem MDR/MPR-Lösungen in Betracht ziehen.
- Sicherheit einbauen, anstatt sie nachträglich zu implementieren. Die Cybersicherheit muss in die Software, den Hardware-Einsatz und andere Abläufe integriert werden. Darüber hinaus muss bei der Diskussion über Cyber-Risiken auch der menschliche Faktor berücksichtigt werden. So müssen beispielsweise Techniker ordnungsgemäß geschult und autorisiert werden, bevor sie sich mit der Infrastruktur befassen.
Fazit
Moderne Autos enthalten inzwischen teilweise Millionen von Codezeilen in ihrer Software und Sensorik. Die Software in der Automobilindustrie war noch nie so komplex wie heute. Die Herausforderung besteht nun darin, dies alles abzusichern, damit aus Cyberrisiken keine für Leib und Leben werden.
Von Thomas Ernst, Security Evangelist bei Check Point Software Technologies