Die IAA Transportation öffnet am 17. September ihre Türen und zahlreiche Hersteller werden neue Elektrofahrzeuge präsentieren, die mit neuen digitalen Funktionalitäten aufwarten. Bis 2030, so der ehrgeizige Plan der Bundesregierung, sollen 15 Millionen E-Fahrzeuge auf den deutschen Straßen fahren. Sie sollen von über einer Million öffentlich zugänglicher Ladepunkte mit Strom versorgt werden. Vor allem die Schnellladeinfrastruktur soll ausgebaut werden. Bereits jetzt gibt es laut Angaben der BNetzA deutschlandweit über 103.000 Ladepunkte und über 25.000 Schnellladepunkte. Sie liefern zusammen 4,52 GW Ladeleistung. Bislang finden sich solche Stationen vermehrt auf Supermarkt-Parkplätzen oder vor öffentlichen Gebäuden. Doch leider bieten Elektrofahrzeugen Cyber-Kriminellen eine neue Angriffsfläche .
Die Absicherung der E-Mobilität beginnt nicht nur beim E-Fahrzeug, sie muss vielmehr beim Ökosystem der E-Fahrzeuge und oder auch dem Stromnetz ansetzen. Nur eine umfassende Strategie, die alle möglichen Angriffsflächen und potenziellen Schwachstellen berücksichtigt, kann die IT-Sicherheit der E-Fahrzeuge gewährleisten und damit auch zu einer breiteren Akzeptanz der E-Mobilität führen.
Im Bereich der E-Mobilität und ihrer Infrastruktur bestehen zahlreiche Cybersicherheitsrisiken, zu diesen gehören Remote-Hacking von Elektrofahrzeugen (EV), deren Ladegeräten, der EVSE-Infrastruktur, Mobiltelefonen der Fahrer und dem Zahlungssystem. Unbefugter Zugang zu diesen Systemen kann zu Datendiebstahl führen, insbesondere bei sensiblen Informationen wie Kreditkartendaten. Weitere Bedrohungen umfassen Malware- und Ransomware-Angriffe sowie Man-in-the-Middle-Angriffe (MiTM). Auch API-Missbrauch, Identitätsdiebstahl, menschliches und soziales Engineering sowie Standortverfolgung und Spoofing stellen ernsthafte Risiken dar. Zudem nutzen Angreifer Machine-Learning, um ihre Attacken zu optimieren.
Zahlreiche aktuelle Beispiele belegen die Bedrohungslage von E-Fahrzeugen und ihrer Infrastrukturen:
- Die Brokenwire-Attacke, die von Sicherheitsforschern in 2022 demonstriert wurde, nutzte die Schwachstellen im Combined-Charging-System (CCS) von Elektrofahrzeugen aus, um den Ladevorgang aus der Ferne zu unterbrechen. Angreifer können durch Funkstörungen die Kommunikation zwischen Fahrzeug und Ladesäule stören, ohne physischen Zugang zu haben, was vor allem öffentliche DC-Schnellladestationen betrifft. Diese Sicherheitslücke zeigt die Notwendigkeit erhöhter Cybersicherheitsmaßnahmen im Bereich der E-Ladeinfrastruktur.
- Beim Pwn2Own Automotive Hacking-Wettbewerb 2024 verdienten Teilnehmer über 700.000 US-Dollar für das Aufdecken von Schwachstellen in Tesla-Fahrzeugen, E-Ladestationen und Infotainmentsystemen. Die meisten Belohnungen gingen an Teams, die Tesla-Modems, Ubiquiti-Connect und verschiedene Ladesysteme kompromittierten. Der Wettbewerb verdeutlicht die Bedeutung von Cybersicherheit in der Automobilbranche, da viele dieser Schwachstellen schwerwiegende Auswirkungen auf Fahrzeuge und deren Systeme haben können.
- Bei der CAN Injector-Attacke, konnten Hacker durch Manipulation der Scheinwerferverkabelung in den Controller-Area-Network (CAN)-Bus eines Fahrzeugs eindringen und Sicherheitsprotokolle umgehen, um das Fahrzeug zu stehlen. Diese Technik nutzt kostengünstige und leicht verfügbare Geräte, die speziell zur Umgehung des schlüssellosen Zugangssystems entwickelt wurden. Ein vorgeschlagener langfristiger Schutz ist die Verschlüsselung von CAN-Nachrichten, um derartige Angriffe zu verhindern.
- Im Jahr 2022 wurde nach einem Bericht des Infosecurity Magazines Besitzern von elektrischen Fahrzeugen beim Ladevorgang explizite Inhalte für Erwachsene auf den Infotainment-Systemen angezeigt, ohne, dass diese dies beeinflussen konnten.
- 2021 wurde ein Wallbox-Ladegerät für Elektrofahrzeuge aus dem Verkauf genommen, da es nicht den britischen Cybersicherheitsgesetzen entsprach und potenziell von Hackern ausgenutzt werden könnte, um Stromausfälle zu verursachen. Kritiker warnen, dass fehlerhafte Geräte das nationale Stromnetz durch gezielte Angriffe gefährden könnten, indem sie hohe Nachfrage erzeugen. Obwohl das Gerät bis Juni 2024 weiterverkauft werden durfte, gibt es Bedenken hinsichtlich der Sicherheit bereits installierter Einheiten, die nicht zurückgerufen werden.
Zukünftig gehen die Sicherheitsexperten sogar davon aus, dass es zu Seitenkanalangriffen auf die Electric-Vehical-Charging-Station-(EVCS) kommen kann. Ein mögliches Szenario wäre dann, dass Cyberkriminelle die Ladevorgänge unterbrechen, manipulieren oder aber Bezahlbetrügereien durchführen.
Wie sich das Problem lösen lässt, können Interessierte im vollständigen Bericht von Check Point: „Automotive & Mobility Security – Absicherung der Infrastruktur für Elektrofahrzeuge“ erfahren, den Check Point auf Nachfrage gerne zusendet.
#CheckPoint