Mathias Dalheimer zieht einen USB-Stick aus der Ladestation, an der normalerweise Elektroautos tanken. Dalheimer ist IT-Sicherheitsforscher und Mitglied des Chaos-Computer-Clubs (CCC). Er steckt den USB-Stick in seinen Rechner, startet ein Programm, und plötzlich leuchtet das Display der Station auf. Gerade wird ein Update mit dem Namen "pwned" eingespielt. In der Sprache der Hacker ist Pwned eine Abwandlung des englischen Begriffs Owned. Es bedeutet, dass Dalheimer die Station unter seiner Kontrolle hat. Auf deren Display leuchtet ein Text auf, den Dalheimer kurz zuvor an seinem Rechner in die Tastatur getippt hat: "Heute gratis laden!", ist dort zu lesen.
Es ist einer von zwei Angriffen, den Dalheimer der Süddeutschen Zeitung Anfang Dezember demonstrierte und den er auf der Jahreskonferenz des CCC an diesem Mittwoch öffentlich zeigen wird. Die Präsentation soll eine Warnung sein. Hackern reicht es aus, sich zwei bis drei Minuten an eine Ladestation zu stellen, um danach auf fremde Kosten ihr Elektroauto laden zu können. Sie können illegalen Handel mit Ladekarten betreiben, warnt Dalheimer - und es ist unklar, ob die Betreiber den Hackern auf die Spur kommen können.
Nach dem Willen deutscher Autohersteller sollen bis 2025 mindestens 15 Prozent der verkauften Autos sogenannte Stromer sein. Das Elektroauto würde damit zum Massenprodukt. Damit das funktionieren kann, bedarf es einer Infrastruktur, sprich: E-Tankstellen, am besten ein dichtes Netz davon. Noch sind öffentliche Ladesäulen rar, doch ihre Zahl nimmt rasch und deutlich zu: Nach Angaben von New Motion, einem Serviceanbieter für Elektrofahrzeuge und -ladestationen, gab es Ende 2016 in Deutschland rund 6 500 öffentliche Ladestationen. Bis Mitte 2017 waren bereits 11 000 verzeichnet. Sie müssen technisch sicher sein, damit sie von der Bevölkerung akzeptiert werden. Hier kommt Dalheimers Forschung ins Spiel.
Um ein E-Auto zu laden, kann man die Steckdose entweder mithilfe einer App freischalten oder muss eine Ladekarte an die Ladestation halten. Viele E-Autofahrer nutzten bislang vor allem das Kartensystem. In den Ladekarten ist ein Chip verbaut, der die Kartennummer überträgt. Die Ladesäule identifiziert den Kunden alleine über diese Nummer. Nach dem Laden wird das Geld vom zur Karte gehörigen Bankkonto abgebucht.
Überall, wo Computer eingesetzt werden, ist es mittlerweile üblich, sich anhand von zwei unterschiedlichen Faktoren auszuweisen. Wer zum Beispiel online Geld überweisen will, braucht sowohl die Login-Daten für sein Bankkonto als auch eine Transaktionsnummer, eine sogenannte TAN, mit der Bankgeschäfte bestätigt werden. Bei E-Tankstellen hat sich diese Methode noch nicht durchgesetzt. Das nutzt Dalheimer bei seinem Test aus. Damit er seinen USB-Stick in die Ladesäule des Herstellers Keba stecken kann, muss er diese erst aufschrauben. "Das ist kein Hindernis", sagt er. Keba überließ Dalheimer eine Ladesäule zu Testzwecken. Das Fraunhofer-Institut, an dem Dalheimer forscht, kaufte eine weitere Station.
Kaum steckt der Stick in der Ladesäule, spuckt diese Informationen aus. Dalheimer hat auf dem Stick zu diesem Zweck ein Programm platziert. Ein "wenig technisches Verständnis" sei notwendig, um das Programm zu schreiben. Keba speichere Ladeinformationen "der letzten paar Tage" in einer Datei, also auch die gültige Kartennummer. Nun könnte sich der Hacker frei programmierbare Karten kaufen und mit diesen Nummern ausstatten. "Ich habe einen perfekten Klon der Ladekarte gebaut. Ich tanke, jemand anderes zahlt."
Die Karten könne man sich für dreißig Cent das Stück aus China liefern lassen und nach der Programmierung für wenige Euro verkaufen. Die Personen, die die Karten kaufen, tanken ganz normal und wo sie wollen. Sie müssten also nicht erst die Ladesäule aufschrauben. Auf Anfrage bestätigt Keba die Ergebnisse des Forschers, fügt aber hinzu: "Das Problem war uns bereits bekannt." Man habe im Oktober 2017 eine neue Software-Version veröffentlicht, die diesen Angriff unterbinde.
Der zweite Angriff von Dalheimer ist weitreichender, da er sich nicht nur gegen einen einzelnen Hersteller richtet. Um das Tanken abzurechnen, werden Daten an die Betreiber der Tankstelle übermittelt. Das passiert über ein Netzwerk und anhand des "Open Charge Point"-Protokolls, einer Art Industriestandard. "Das Protokoll ist überhaupt nicht abgesichert", sagt der Hacker. Mehrere Nummern leuchten auf seinem Bildschirm auf. Dalheimer schreibt ein Programm, das die Daten über das Internet an einen Computer schickt, den er kontrolliert. Er kann die Daten auslesen. Erst danach werden sie weitergeleitet.
Durch diesen Zugriff kommt Dalheimer erneut an die Kartennummern, und das in Echtzeit. Dieses Mal aber eben unabhängig vom jeweiligen Modell der Ladestation. Für beide Angriffe gilt: Da die Kartennummer das einzige Merkmal ist, mit der Menschen beim Stromtanken identifiziert werden, ist es schwierig, den Hackern auf die Schliche zu kommen. Der Ladenetzbetreiber New Motion bestätigt , dass es durchaus Szenarien gebe, "in denen Betrug für einige Zeit unentdeckt bleiben könnte". Der Nutzen eines Betrugs sei aber begrenzt, "wenn man sich die Kosten herkömmlicher Ladevorgänge" anschaue - diese liegen Schätzungen zufolge bei bis zu knapp 20 Euro pro 100 Kilometer.* Da es mehrere Stunden dauert, ein Auto zu tanken, sei das "Risiko, gefasst zu werden, während das eigene Auto noch angeschlossen ist", sehr hoch.
Hersteller wie BMW arbeiten bereits an sichereren Abrechnungssystemen
Doch ist der Angriff wirklich so einfach, wie Dalheimer behauptet? Smartlab entwickelt und vernetzt die öffentliche Infrastruktur, aktuell werden 1600 Ladestationen verwaltet. Die Säulen sind laut einem Unternehmenssprecher gegen physikalischem Zugriff abgesichert, zum Beispiel in Form von Doppelschließungen, die auch bei Stromverteilerkästen verwendet werden. Hinzu komme, dass es bei Ladestationen von Smartlab nicht möglich sei, Daten über das Internet zu schicken. Die Schwächen, die Dalheimer im Protokoll gefunden hat, werden demnach also durch zusätzliche Maßnahmen abgesichert.
Dalheimer betont jedoch, dass die öffentliche Ladeinfrastruktur miteinander kompatibel sei. So können Elektroautos überall mit Strom betankt werden, unabhängig davon, wer die Ladestation betreibt. Findet sich eine einzige Ladestation, sei das Gesamtsystem betroffen. Es seien jedoch keine Fälle bekannt, in denen auf fremde Kosten getankt wurde, wie die Betreiber der Ladestationen mitteilen.
Es sei dennoch besser, ein Verfahren zu wählen, bei dem die Identifikation über unabhängige Faktoren festgestellt werde, meint Dalheimer. An so einem System werde derzeit gearbeitet, teilte etwa der Autokonzern BMW mit, der die Ladeinfrastruktur "Charge Now" betreibt. In Zukunft werde auch ein Zertifikat des Autos übertragen, heißt es dort. Die Kartennummer alleine reicht dann nicht mehr aus, um das Auto zu tanken.
* Artikel wurde aktualisiert, um die Tankkosten zu präzisieren.