Ladestationen für E-Mobile - ein wachsendes Risiko für die Cybersecurity

Erfolgreiche Cyberangriffe auf solche Anwendungen ermöglichen laut Radware vielfältige Aktionen von Betrug bis Sabotage.

Mit einer erwarteten Marktkapitalisierung von 457 Milliarden Dollar im Jahr 2023 wird sich der Markt für Elektrofahrzeuge bis 2027 mit einem erwarteten Absatz von 16 Millionen Fahrzeugen pro Jahr fast verdoppeln. Um dem wachsenden Bedarf an Ladestationen gerecht zu werden und den Besitzern von E-Fahrzeugen ein nahtloses Erlebnis zu bieten, ist die Zahl der Anwendungen für E-Fahrzeug-Ladestationen exponentiell gestiegen. Es gibt Endbenutzer-Apps zum Auffinden von Ladestationen, Bezahl-Apps für das Aufladen von Akkus, Endpunkt-Apps, die den Fahrern helfen, ihren Stromverbrauch zu überwachen und zu verwalten, sowie Apps auf Unternehmensebene zur Verwaltung von Ladestationsflotten und Ladenetzen in Geschäfts- und Wohngebäuden.

Eine Matrix von Endgeräten und Anwendungen

Alle diese Anwendungen interagieren in der Regel untereinander und mit Diensten und Plattformen von Drittanbietern über APIs oder JavaScript-Plugins. Diese Anwendungen verarbeiten sowohl sensible, persönliche Fahrerdaten als auch Informationen über das Fahrzeug. Darüber hinaus sind sie mit einer ausgeklügelten Backend-Infrastruktur verbunden, die die effiziente Verteilung von Strom an die Endpunkt-Ladegeräte verwaltet.

Ladeanwendungen sind anfällig für viele Cybersicherheits-Risiken. Sie ziehen eine Reihe von böswilligen Akteuren an, darunter terroristische oder kriminelle Gruppen, die versuchen, die Ladestation und das Fahrzeug physisch zu beschädigen. Außerdem versuchen böswillige Hacker, durch den Diebstahl von Geld, Strom oder persönlichen Daten unrechtmäßige Gewinne zu erzielen. Das Problem ist, dass die Ladeinfrastruktur sehr anfällig für Datenschutzverletzungen, finanzielle Verluste und Sicherheitsrisiken ist. Und wie bei jedem jungen Markt fehlt es auch hier noch an Bewusstsein und Vorschriften, um sich angemessen zu schützen.

Anwendungen, die mit Endpunkt-Ladestationen verbunden sind, sind anfällig für verschiedene Arten von Cyberangriffen - unter anderem ATOs (Kontoübernahmen), MITM (Man-in-the-Middle), Angriffe auf die Lieferkette, API-Missbrauch, client- und serverseitige Anfragefälschungen, XSS (Cross-Site-Scripting).

"Eine der Sicherheits-Herausforderungen besteht darin, dass die Anwendungen, die auf den Endgeräten der Ladestationen laufen, nicht so oft aktualisiert werden, wie sie sollten", sagt Uri Dorot, Senior Security Solutions Lead bei Radware. "Infolgedessen laufen viele veraltete Versionen von Linux und JavaScript mit neuen Schwachstellen, die nicht gepatcht wurden."

Die Technologie kommt zuerst. Vorschriften hinken hinterher

Im Gegensatz zu Banken, Finanzdienstleistern und der Reise- und E-Commerce-Branche, in der die Regulierungsbehörden die Implementierung von Cybersicherheits-Lösungen wie z. B. einer WAF (Web Application Firewall) vorschreiben, durchläuft die Ladeindustrie noch ihre ersten regulatorischen Schritte. "Derzeit geben die Vorschriften und Standards für die Ladeindustrie - wie ISO 15118 und SAE J3061 - lediglich die Sicherheitsmaßnahmen vor, die Ladeunternehmen zum Schutz ihrer Systeme und Kundendaten vor Cyberangriffen berücksichtigen sollten", so Dorot. "Mit anderen Worten, es gibt keine Anforderungen und keine Durchsetzung, um sicherzustellen, dass bestimmte Cybersicherheits-Tools verwendet werden."

Häufige Cybersecurity-Risiken für Ladeanwendungen

Malware und Viren: Sowohl Malware als auch Viren können über infizierte Dienste von Drittanbietern innerhalb der Lieferkette von Ladestationen, ausgeklügelte Bot-Angriffe und Injektionen in eine Ladeanwendung eingeschleust werden. Sie können über ein kompromittiertes oder infiziertes Enduser-Gerät, einen Infotainment-Computer im Auto oder eine einzelne, unabhängige Ladestation im Freien Zugang erhalten. All dies kann zu unbefugtem Zugriff auf die Ladeinfrastruktur, Datendiebstahl oder Beschädigung der Anwendung führen.

Fehlende Verschlüsselung: Ohne die richtige Verschlüsselung der Daten, die zwischen der Ladeanwendung und der Ladestation übertragen werden, können die Benutzerdaten abgefangen und kompromittiert werden.

Ungenügende Authentifizierung: Schwache Authentifizierungs-Mechanismen können unbefugten Benutzern den Zugriff auf die Ladeanwendung und die Ladeinfrastruktur ermöglichen. Dies kann zu Missbrauch, Datendiebstahl oder Schäden an der Anwendung führen.

Datenschutz-Risiken: Ladeanwendungen sammeln und speichern sensible Nutzerdaten, wie Standort