Ladetechnik und Sicherheit: Langfingersicher Laden

Die Bezahlvorgänge an Ladepunkten – vor allem an öffentlichen – müssen sicher sein. Damit sich hier kein Langfinger in den Lade- und Bezahlvorgang hackt, unternehmen die Betreiber große Anstrengungen. 
Von Gregor Soller

 Bild: bermix studio/Unsplash
Bild: bermix studio/Unsplash
Gregor Soller

Mit dramatischen Hacks können gewiefte Programmierer ein Auto in den Graben schicken, die Logistik der Reederei Maersk oder ein ganzes Krankenhaus lahm legen – was unter Umständen tödliche Folgen haben kann. Dahinter stehen seitens der Hacker happige Lösegeldforderungen oder gleich der Versuch, sich so Zugang zu Kontodaten und/oder Adressen von Nutzern zu beschaffen. „Einfallstore“ sind hier gern auch lange genutzte Gerätschaften aus dem vergangenen Jahrtausend wie Röntgen- oder Diagnosegeräte, Hochöfen und teure, langlebige Maschinen, die zwar in den 1990er-Jahren prinzipiell schon internettauglich waren – und nachträglich auch brav ins Internet der Dinge eingebunden wurden, selbst aber nie ein Update erfahren haben.

Nun sind öffentliche Ladepunkte auch Teil des Netzes und da man an ihnen zum Bezahlen immer Fahrzeug- und Bankdaten hinterlässt, sollten diese sicher sein. Wir haben in der Branche nachgefragt, wie man den Kunden Datensicherheit garantieren kann und welche Voraussetzungen es dafür braucht. Laut Christoph Erni, Gründer und CEO von Juice Technology, sind hier verschiedene Ebenen zu berücksichtigen: Erstens: Die Ladestation selbst, an der Manipulationen zwischen Zähler und Anzeige ausgeschlossen werden müssen, was die Eichrechtsverordnung vorschreibt. Die ist sinnvoll und stammt im Prinzip aus der Tankstellenwirtschaft, wo man gern mal die Anzeige der Durchflussrate schneller laufen ließ als den Sprit.

Es gibt viele Einfallstore für Cyberattacken

Doch wir sind digital unterwegs und haben deshalb mehrere Einfallstore: Auch zwischen Ladepunkt und Backend. Hier soll eine verschlüsselte VPN-Verbindung Angriffe, Umleitungen, Verfälschungen oder Einspeisung von gezinkten Daten verhindern. Nicht vergessen werden darf laut Erni der Backend-Server, „der richtig aufgesetzt, korrekt gefirewallt, physisch tresoriert und ordentlich geback-upt sein muss“. Dazu gehört laut Erni ein sicheres Back-up-Handling, damit der Datenschutz rundum gewährleistet ist. Deshalb muss der Zugang zum Backend durch Betreiber und Kunden idealerweise mit einer Zweiphasen-Authentifizierung geschützt sein. Dabei ist es sinnvoll, nicht allzu viele „Zwischenstationen“ zu haben, wie Dr. Heiko Rüppel, Vertriebsleiter bei Enercharge, erklärt: „Da unsere Ladesäulen Direct Payment nutzen, haben wir zu keiner Zeit Zugriff auf Kundendaten. Die Daten werden direkt von der Ladesäule an den Zahlungsanbieter gesendet, ohne dass unsererseits ein Backend zwischengelagert ist.“ Dabei sind bei Enercharge das genutzte Zahlungsterminal sowie die Software zur Zahlungsabwicklung herstellerseitig zertifiziert und sicherheitstechnisch geprüft, sodass keine Daten von unberechtigten Personen ausgelesen werden können. Rüppel ergänzt: „Unserer Ansicht nach bieten wir somit die zurzeit sicherste Lösung, da leider bei der Nutzung von Backends noch viele Punkte von öffentlicher Seite nicht strikt genug geregelt sind.“ Bei der RFID-Zahlung nutzt Enercharge einen externen Backendbetreiber, der strengste Datensicherheit nach DSGVO gewährleisten muss. Die Daten der Kunden gehen direkt an diesen Betreiber, ohne dass Enercharge darauf Zugriff hat. Ähnlich sieht das Stefan Lanzinger, Marketingmanager von Keba, wo aktuell keine datenschutzrelevanten Daten gespeichert werden. Auch bei den mess- und eichrechtskonformen Ladestationen registriert Keba nur die geladene elektrische Leistung. Diesen Datensatz ordnen die Linzer aber nicht Kundendaten zu, sondern einer vom Backend generierten RFID-ID ohne DSGVO-relevanten Daten. Lanzinger: „Damit die Ladestationsnutzer nach Erhalt ihrer Rechnung die einzelnen Positionen ganz einfach und sicher auf Richtigkeit überprüfen können, setzen wir als Gründungsmitglied der S.A.F.E. (Software Alliance for E-Mobility)-Initiative auf die einheitliche Transparenzsoftware.“ Wie wichtig das Thema Software ist, sieht man auch bei Dinitech, wo Gründer Dietmar Niederl mittlerweile längst davon abkommt, „nur“ Ladetechnik zu entwickeln: Die Steirer haben inzwischen separate Abteilungen, die Elektronik, iOT, Firmware und Apps entwickeln. Dazu kommt die Serienfertigung eigener elektronischer Komponenten.

Einen etwas anderen Weg verfolgt Eliso: Die Stuttgarter arbeiten projektbezogen, aber auch hier steht die Software im Fokus. Was dadurch untermauert wird, dass 2019 der Fahrzeugsoftware-Entwickler Vector bei Eliso einstieg. Und da Eliso zudem als Betreiber von Ladepunkten auftritt, spielt hier die eigene Software die Hauptrolle in Sachen Sicherheit.

Checrallah Kachouh, Vorstand von Compleo, verweist in dem Zusammenhang auf die intelligenten Messsysteme der VDE AR-N-4100, die ab 2032 für alle Verteilnetzbetreiber verpflichtend wird. Auch beim direkten Anschluss von Ladestationen ans öffentliche Niederspannungsnetz sind die Anforderungen der VDE-Anwendungsregel 4100 zu berücksichtigen. Kachouh sieht zudem das Smart Metering als Schlüssel für die digitale Energiewende, in der Stromangebot und -verbrauch gekoppelt werden müssen. Wozu energie- und anwendungsrelevante Informationen getauscht werden.

Wichtig: Eine sichere Authentifizierung

Sehr tief ins Thema steigt auch Dirk Burghaus ein, der bei Mennekes das Produktmanagement leitet. Ein wichtiger Aspekt ist die Authentifizierung, zum Beispiel via RFID-Karten, denn im Bereich der Elektromobilität wird heute in der Regel die eindeutige Kartennummer der RFID-Karte (UID – Unique Identifier) zur Identifikation am Ladepunkt verwendet. Der Betreiber des Ladepunkts respektive der E-MobilityProvider ordnet die Ladedaten mithilfe dieser RFID-Kartennummer dem jeweiligen Kunden zu. „Die Nutzung dieser UID stellt den kleinsten gemeinsamen Nenner dar, um Kunden verschiedener E-Mobility-Provider die Nutzung von Ladestationen verschiedener Betreiber und Hersteller zu ermöglichen“, erklärt Burghaus. Doch Betreiber und Verbraucher fordern eine hohe Verfügbarkeit der Ladesysteme. Daher wurde im international veröffentlichten Kommunikationsstandard OCPP (Open-Charge-Point-Protocol) außerdem die optionale Nutzung einer lokalen Whitelist-Ablage beschrieben. So wird auch die Offline-Nutzung von Ladestationen bei Ausfall der Backend-Kommunikation sichergestellt.

Doch leider sei durch die mögliche Duplizierung der UID die Authentifizierung mittels RFID-Karte nicht vollkommen sicher, weshalb Mennekes laut Burghaus mehrere Sicherheitsebenen eingezogen hat. Grundsätzlich nutzen die meisten User zwei Möglichkeiten der Authentifizierung: entweder per Smartphone-App oder dem Ad-hoc-Laden, also Strom tanken ohne Vertrag oder per Prepaid-Karte. Beides Verfahren, die von der Ladesäulenverordnung und der Förderrichtlinie für das Laden an öffentlichen Ladepunkten gefordert werden. Der Kunde wählt, welches Verfahren er nutzen möchte. Spannend wird es beim Betrieb vernetzter Ladeinfrastruktur: Hier bietet Mennekes eine cloudbasierte Softwarelösung an, die man mit der Chargecloud GmbH entwickelt hat. Die steuert den Betrieb von Ladepunkten, die Kundenverwaltung und die Abrechnung von Ladevorgängen per Smartphone-App und Ad-hoc-Laden. Dabei wurden alle aktuellen sicherheitstechnischen Aspekte berücksichtigt, zudem werden automatisch Sicherheitsupdates und eine verschlüsselte Datenübertragung eingespielt, um ein hohes Maß an Datensicherheit zu gewährleisten. Doch hinter den Kulissen denkt das fast 90 Jahre alte Familienunternehmen weiter: Zukünftig wird es laut Burghaus weitere Authentifizierungsverfahren geben, „bei denen eine direkte Datenübertragung zwischen Ladestation und Elektrofahrzeug mit entsprechenden Verschlüsselungsmechanismen eingesetzt wird“. Dies setzt allerdings eine Aufrüstung der Ladestationen und Elektrofahrzeuge mit der notwendigen Hardware und die Umsetzung des ISO 15118 – Kommunikationsstandards voraus, den die neuesten Mennekes-Produkte bereits bieten.

Mittlerweile gern vernachlässigt wird der mechanische Schutz, den Burghaus vor allem im öffentlichen Ladebereich anmahnt: Dort besteht die Gefahr, dass Veränderungen von Systemdaten oder das Auslesen von RFID-Kartennummern vor Ort an den Ladesystemen vorgenommen werden können. Weshalb Mennekes diese immer per Schloss sichert und auf einen sehr hohen mechanischen (Einbruch-) Schutz achtet. Selbst wenn die Geräte gewaltvoll geknackt werden, sollen den Zugang zum Kommunikationsgateway und Ladepunktcontroller ein Passwort und Verschlüsselungsverfahren vereiteln.

Ladepunkte und Datenübertragung wären geklärt, doch wie sieht es aus, wenn man das Ganze in die Softwareplattform der Kunden einbinden muss? Hier erinnert sich Juice-CEO Erni augenzwinkernd an eine alte IT-Weisheit, die besagt, dass Schnittstellen sehr „zuverlässig“ sind: „Sie sorgen zuverlässig für Probleme und Datenunsicherheiten. Deshalb bevorzugen wir es, nur ausgewählte Daten (Gerätezustände, Ladelogs) an Kundensysteme weiterzugeben.“ Denn eine vollständige Integration potenziere laut Erni die Komplexität der Systeme und berge Datensicherheitsprobleme.

Enercharge bietet laut Rüppel aus Sicherheitsgründen keine direkte Integration in fremde Softwareplattformen an, eine Kommunikation über entsprechende Schnittstellen sei aber möglich. Die Ladevorgänge der Kunden werden bei Enercharge nur über die Kundennummer zugeordnet und verarbeitet, andere Daten liegen dann weder Enercharge noch dem Betreiber der Ladestation je vor. Sobald eine Kommunikation zu einem betreiberseitigen Backend besteht, muss dieses garantieren, dass alle sicherheitsrelevanten Bedingungen erfüllt werden. Burghaus von Mennekes plädiert für systemoffene Lösungen: So können Betreiber neben dem Chargecloud-Backend auch Lösungen von zu Mennekes Ladesystemen kompatiblen Backends nutzen. Die Details liegen dann bei den jeweiligen Softwaresystemen. Keba setzt für die Integration in Betreibersysteme auf Lösungen mit Verschlüsselung auf Basis von TLS 1.2 (TLS steht für Transport Layer Security und bezeichnet das Nachfolgeprotokoll von SSL – Secure Sockets Layer). Zusätzlich sei laut Lanzinger die Integration in ein VPN möglich, was für eine Extrabarriere gegenüber Attacken von außen sorgt.

Doch wie will man jederzeit eine detaillierte Datenübertragung an die Kunden sicherstellen, ohne dass andere Parteien hier Zugriff haben? Bei Enercharge wird ein zertifiziertes PDF mit allen standardisierten Rechnungsmerkmalen generiert, welches vom Benutzer downloadbar ist. Dieser Download kann nur mit einem zufällig generierten, einzigartigen Code erfolgen, welcher dem Kunden physisch an der Ladesäule angezeigt wird, sobald der Zahlvorgang beendet ist. Rüppel ergänzt: „Selbst wenn die Rechnung anschließend an Dritte gelangen sollte, enthält diese keine sensiblen Daten. Darum ist Direct Payment aktuell das anonymste Zahlungsmedium.“ Bei Mennekes werden die Daten je nach Backendsystem in gesicherten Verbindungen, z.B. VPN, und/oder zusätzlich verschlüsselt vom Ladepunkt zum Backend übertragen. Zur Erfüllung der Eichrechtskonformität werden zudem die Datensätze (Anfangs- und Endmesswerte, Benutzer-ID, Standort und Public Key des Zählers) signiert übermittelt, wie Burghaus erklärt: „Mittels einer sogenannten Transparenzsoftware können Betreiber und auch Nutzer unabhängig von Ort und Zeit Lade- und Abrechnungsdaten auf ihre Unversehrtheit hin überprüfen.“ Dieses Verfahren wurde durch die PTB (die Physikalisch-Technische Bundesanstalt), also von unabhängiger staatlicher Stelle, zertifiziert und ermöglicht so den höchsten Grad an Transparenz und Verbraucherschutz bei hoher Datensicherheit. Auch Juice setzt hier laut Erni auf mehrfach gesicherte Systemzugänge (zum Beispiel Passwort oder Handycode), Verschlüsselung und sichere Protokolle.

Sich ändernde Codes erschweren den Hack

Zuletzt wollten wir wissen, wie man die Systeme künftig sichert und ob dafür Over-the-Air-Updates ausreichen. Hier antwortet Juice-Technology-Gründer Erni sehr realistisch: „Wie unsere PCs seit Jahren hinlänglich beweisen, kann jedes System angegriffen werden. Deshalb werden auch bei Ladestationen Updates unumgänglich werden, natürlich sinnvollerweise Over-the-Air.“

Die Kunst liegt laut Erni darin, die maschinelle Authentifizierung so sicher zu gestalten, dass es unmöglich ist, falsche Updates einzuspielen oder Updates abzufangen und gegebenenfalls zu verfälschen. Dazu müsse man spezielle Techniken kombinieren, die selbst bei rechnerbasierten Hackerattacken (Brute-Force genannt) eine prognostizierte „Knack-Zeit“ von mindestens einigen Millionen Jahren haben, verbunden mit sich ändernden Codes, wie man es von Chiffriermaschinen kennt. Lanzinger von Keba blickt vorsichtig nach vorn: Aktuell reichen hier seiner Meinung nach Over-the-air-Updates noch aus, aber: „Mittelfristig beschäftigen wir uns bereits mit Lösungen, welche in ihrem Aufbau für eine Security Verbesserung in der Hardware haben werden. Hierbei werden wir eng mit verifizierten Prüfungsstellen zusammenarbeiten und uns die Sicherheit auch bestätigen lassen“, erklärt der Österreicher.

Einen kleinen Trost hat Burghaus von Mennekes: Immerhin schreite die Standardisierung in diesem Bereich mit großen Schritten voran. So werden in allen gerade entstehenden Kommunikationsstandards sehr hohe Sicherheitslevels berücksichtigt. Datenschutz und Datensicherheit habe bei all diesen Schnittstellen oberste Priorität. „Beispielhaft können hier die Entwicklungen der ISO 15118 Normenreihe für die Kommunikation zwischen Fahrzeug und Ladestation und die Entwicklung der IEC 63110 Normenreihe für die Kommunikation zwischen Ladestation und Backend genannt werden“, so Burghaus. Außerdem müssen alle Anlagen eichrechtlich abgenommen werden, um Manipulationen durch Hersteller, Betreiber oder unbefugte Dritte am System zu unterbinden. Die Kommunikation ist immer end-to-end verschlüsselt. Und diese Verschlüsselung kann bei Enercharge, um dauerhafte und maximale Sicherheit zu gewährleisten, laufend über Remote-Updates geändert werden. Ähnlich agiert Mennekes, wobei nicht alle neuen Technologien für den vollen Funktionsumfang gleich mit Over-the-Air-Updates im Feld ausgerollt werden: „Wo das nicht möglich ist, wird zunächst auf Komfortfunktionen verzichtet, bevor Sicherheitsaspekte darunter leiden“, erklärt Burghaus das Vorgehen.

Und er weiß, dass er sich auf die regionalen Profis in der Regel verlassen kann: „Erfordert ein sicherheitsrelevantes Update auch das Eingreifen von Fachpersonal vor Ort, so sind die Elektroinstallateure und Betreiber mit ihren Serviceteams sehr gut darauf vorbereitet.“ Deshalb bietet Mennekes hier umfangreiche Schulungsmaßnahmen zu Service und Wartung der Ladeinfrastruktur an.

„Überspitzt sage ich immer: Der Tod kommt per Mausklick.“

Interview mit Dr. Thomas Köhler, Geschäftsführer von CE 21

Das Team von Communication Experts kümmert sich um Datenschutz, IT-Sicherheit und gibt die entsprechenden Schulungen.

Im Internet der Dinge wird Cybersicherheit immer wichtiger. Das wird früher oder später auch die Ladetechnik treffen?

Köhler: Korrekt. Grundsätzlich haben wir hier das Problem, dass die Branche wie alle Industrien meist aus der Hardware kommt, sprich der Welt der Stecker, Kabel oder Trafos. Doch das ändert sich gerade, denn künftig wird die Software den Unterschied machen. So ist zum Beispiel auch ein Tesla kein Auto mit geschicktem Package, sondern eigentlich ein updatefähiges Softwarepaket auf Rädern. Und hier müssen wir ansetzen. Denn Hardware ist irgendwo Commodity, aber die Steuerung respektive die Software wird den Unterschied machen.

Aber genau das ist ja das Problem, denn sobald ich Software ins Internet der Dinge einbinde, ist sie ja auch Einfallstor für Hackerangriffe?

Das stimmt, doch bisher war das noch kein Problem, da in der Regel niemand zu Schaden kam und die meisten Rechner und Anlagen aus einer Stand-alone-Position herauskamen. Deshalb waren die Folgen bisher überschaubar. Aber es gab eben schon einen Produktionsroboter, der durch eine Fehlprogrammierung, nicht durch einen Hack, einen Mitarbeiter getötet hat. Oder ein Krankenhaus, das mit Ransomware lahmgelegt wurde. Übertragen wir das jetzt auf komplexe logistische Abläufe oder Ladeparks, kann das künftig dramatische Ausmaße annehmen. Wir erleben hier immer mehr Grenzfälle, die auf das physische Leben zurückwirken, überspitzt sage ich immer: Der Tod kommt per Mausklick.

Ist das für die Ladetechnik nicht etwas heftig ausgedrückt? Welches Worst-Case-Szenario sehen Sie hier?

(lächelt) Wirklich dramatisch ist Ransomware bei selbstfahrenden elektrischen Autos, die drohen, gegen den nächsten Brückenpfeiler zu fahren, wenn man jetzt nicht ganz schnell die Summe x überweist. Aber auch bei großen Ladeparks besteht durchaus die Möglichkeit, das Stromnetz künstlich so aufzuschaukeln, dass es zu einem kompletten Stromausfall kommt, der über den Ladepark hinausreichen kann.

Wie kann man dem entgegenwirken?

Nun, die erwartbaren Angriffsvektoren sind grundsätzlich alle antizipiert. Hier muss die Problematik tiefgehend vertikalisiert werden und man muss die Software besonders schützen und sehr tiefgreifend neu schreiben, dazu kommen bei vielen Konzernen vermehrt eigene Prozessoren oder spezielle Chips. Das ist eine noch junge Entwicklung, da die meisten Produkte oder Geräte im Internet der Dinge auf standardisierte Produkte und Software zurückgreifen. Da werden gern Programmierbausteine verwendet, die bereits eine Hintertür für Angreifer eingebaut haben. Das gilt für Chips und Prozessoren genauso wie für die Software, die in der Regel auch aus vorhandenen Basisprogrammen neu zusammengeschrieben wird. Hier gibt es Einfallstore, genauso wie bei der Verknüpfung vieler Gerätschaften, die so oft nicht auf den ersten Blick erkannt werden: Da hängt dann plötzlich eine Außenkamera mit einem Router und einer Ladestation zusammen…und da rechne ich künftig mit verstärkten Angriffen auf die Infrastruktur. Die bittere Wahrheit ist: Jede Technik habe ich bisher in irgendeiner Weise attackiert gesehen. Sicherheit kann man nicht rechnen!

Das Problem ist aber: Hardware wie eine öffentliche Ladesäule muss oft zig Jahre halten, während sich die Software ständig ändert. Wie bringt man das zusammen?

Genau das ist der Punkt! Denn hier reden IT, die Informationstechnologie, und OT, die operative Technologie, oft aneinander vorbei. Und man trifft sich dann bei einem Cloud-Dienst, den man aufsetzt, um beides zusammenzubringen und hat ein weiteres Einfallstor für Hacks geschaffen. Deshalb brauche ich mehr Verständnis auf der Entwicklungsebene, wo ich alle Notwendigkeiten vorher erkennen und verknüpfen muss. Das Problem ist hier, dass ich den Return on Invest nicht rechnen kann: Produziere ich Hardware für eine Laufzeit x samt Softwareprogrammierung, kann ich genau rechnen, ab wann ich damit Geld verdiene. Wenn ich aber für die Programmierung der Sicherheit oder Entwicklung eines neuen Prozessors x Stunden veranschlage und es passiert dann im besten Fall eben nichts, wie will ich das rechnen? Deshalb plädiere ich für eine Szenarienplanung mit dem „Worst Case“, dazu sollten alle Beteiligten das System komplett verstehen.

Und weiterentwickeln sowie updaten können, am besten Over-the-Air?

Vorsicht! Auch der Updateprozess muss sicher sein. Erinnern Sie sich an den Cyberangriff auf Maersk? Der erfolgte durch einen Updateprozess und legte die komplette Logistik lahm. Wichtig ist hier, dass ich sicher updaten kann, ohne den Prozess aus der gesamten Infrastruktur herauszureißen. Dazu braucht es meiner Meinung nach drei Grundvoraussetzungen: Erstens muss ich den Softwarestack im Griff haben, zweitens muss ich sicher updaten können und drittens brauche ich auch eine regulierende Instanz oder Behörde, die Normen vorgibt und deren Einhaltung auch kontrolliert!

Das sind hehre Ziele letztlich auch für die Behörden und den Staat. Tut sich da außer der ISO 15118 Normenreihe für die Kommunikation zwischen Fahrzeug und Ladestation und der IEC 63110 Normenreihe für die Kommunikation zwischen Ladestation und Backend sowie der Eichrechtskonformität schon etwas?

Definitiv. All das sind gute Beispiele und seit 2019 sehe ich eine massive Bewegung auch in den Kontrollgremien und Behörden. Ich kann das auf den Konferenzen feststellen, gerade aktuell auf der SPS Connect, wo es um smarte Produktionslösungen geht. Dabei handelt es sich um aktuelle Themen aus der Automatisierung wie Produktions-IT, Robotik, funktionale Sicherheit, DC-Infrastruktur und KI bis hin zu intelligenten Betriebskonzepten. Aber eben auch um Cybersicherheit. Mit dem Thema war ich zuletzt noch ein Exot, heute beschäftigt sich ein ganzer Tag ausschließlich damit! Insofern sehe ich positiv in die Zukunft: Denn das Bewusstsein ist da, jetzt muss es in konkrete Lösungen umgesetzt werden.

Zur Person

Dipl.-Kaufmann Thomas Köhler ist Mit-Geschäftsführer der CE21. „Communication Experts“ könnte etwas in die Irre führen, denn dahinter steht keine Werbeagentur, sondern man kümmert sich um Datenschutz, IT-Sicherheit und gibt entsprechende Schulungen. Köhler ist zertifizierter Datenschutzbeauftragter (TÜV PersCert), Experte für Digitale Transformation und Research Professor am Hankou University International Innovation Center (Wuhan, CN). Zuletzt sprach er als Experte für Cybersicherheit auf der SPS Connect und verfasste bereits mehrere Bücher zum Thema, darunter „Understanding Cyberrisk“ und „Chefsache Cybersicherheit“. Außerdem wacht er im Verwaltungsrat der Juice Technology AG darüber, dass die Ladetechnik der Schweizer so cybersicher wie möglich ist.

◂ Heft-Navigation ▸

Artikel Ladetechnik und Sicherheit: Langfingersicher Laden
Seite 58 bis 63 | Rubrik konnektivität