In der Schweizer Ladeinfrastruktur für Elektrofahrzeuge gibt es erhebliche Sicherheitslücken. Diese hat das Nationale Testinstitut für Cybersicherheit (NTC) bei rund 30 Betreibern und Herstellern aufgedeckt. Am Mittwoch ist ein entsprechender Bericht veröffentlicht worden – hier das Wichtigste.
Die Infrastruktur und die Ladestationen für Elektromobilität wachsen rasant, aber die Start-ups, die sie vorantreiben, investieren nicht immer ausreichend in die IT-Sicherheit. Dadurch werde das Netzwerk Sicherheitsrisiken ausgesetzt, was letztlich auch die Kundschaft betreffen könnte.
Zwischen Mai und August dieses Jahres testete das Institut die Systeme von rund 50 verschiedenen Herstellern, die über das Internet zugänglich sind, sowie die Betriebssysteme von elf Ladestationen und die Backend-Anwendungen von 23 Ladestationsbetreibern. Das Ergebnis: Die öffentliche Ladeinfrastruktur in der Schweiz müsse verbessert werden, schreibt das NTC. Insgesamt seien «Verwundbarkeiten» an rund 30 Hersteller und Betreiber gemeldet worden.
Die betroffenen Unternehmen hätten schnell reagiert und die gemeldeten Schwachstellen in der Regel innerhalb weniger Stunden oder Tage behoben, aber...
Eine sogenannte «Vulnerability Disclosure Policy», wie sie auch vom NCSC, also dem Cybersicherheits-Zentrum des Bundes, empfohlen wird, würde das Melden von solchen Schwachstellen deutlich vereinfachen und beschleunigen. Dies sei bislang aber von keinem der kontaktierten Unternehmen umgesetzt worden, kritisiert das NTC.
Eines der grössten Risiken ist die Verwendung einer veralteten und unzuverlässigen Version des Kommunikationsprotokolls OCPP, das in der Branche weit verbreitet ist. Die Hersteller sollten nur die neueste und sicherere Version des Protokolls verwenden, empfiehlt das NTC.
Zu den möglichen Auswirkungen schreibt das NTC:
Das Testinstitut für Cybersicherheit hat mit den betroffenen Unternehmen Kontakt aufgenommen: «Kein Hersteller oder Betreiber von Infrastrukturen hat uns Schäden im Zusammenhang mit den gefundenen Schwachstellen gemeldet», sagte Tobias Castagna, Leiter des Testteams.
Die Tests und der Abschlussbericht stellten nur einen Teil der eigentlichen Arbeit des NTC dar, denn die Benachrichtigung und die Beratung der betroffenen Organisationen sei ein wichtiger, zeitaufwendiger und für die Öffentlichkeit nicht wahrnehmbarer Teil des ganzen Projektaufwands.
Bekanntlich gehören die Modelle des US-Unternehmens zu den meistverkauften E-Autos hierzulande. Ob Tesla zu den getesteten Anbietern gehörte, wollte NTC-Testleiter Castagna gegenüber inside-it.ch zunächst nicht verraten.
Begründung: Man wolle vermeiden, dass ein falsches Sicherheitsgefühl aufkomme. Die Unternehmen in dieser Branche sollten sich nicht in falscher Sicherheit wiegen.
Castagna bestätigte aber, dass Tesla nicht zu jenen 30 Organisationen gehöre, bei denen Lücken gefunden wurden.
Das NTC ist ein gemeinnütziges Forschungsinstitut in Zug, das von der öffentlichen Hand finanziert wird.
Die Überprüfung fand gemäss NTC zwischen Mai und August 2023 statt und sei hauptsächlich von einem Kernteam von drei Testexperten des NTCs durchgeführt worden. «Insgesamt wurden rund 90 Personentage aufgewendet für Recherche, Analyse, Test, Dokumentation und die Benachrichtigung und Beratung der rund 30 betroffenen Organisationen.»
Das NTC bezeichnet sich als nationales Kompetenzzentrum für die unabhängige Prüfung der Cybersicherheit und Vertrauenswürdigkeit von digitalen Produkten und vernetzten Infrastrukturen. Das Test- und Prüflabor im Kanton Zug arbeitet gemäss eigenen Angaben eng mit Forschungseinrichtungen, privaten Unternehmen der Cybersicherheit und internationalen Expertinnen und Experten zusammen.
Im Juni dieses Jahres kündigten die NTC-Verantwortlichen an, dass sie – gestützt auf ein Rechtsgutachten – auch ungefragt in fremde IT-Systeme eindringen werden, um gravierende Probleme und Sicherheitslücken aufzudecken.
(dsc/sda)
Haben die Zugriff auf die Säule? Können die den Ladestrom begrenzen? Authentifizierungstoken meiner Ladekarte abfangen?
Der Artikel öffnet bei mir mehr Fragen, als dass er beantwortet.