Sicherheit von Ladesäulen

[Daniel]

Will ja nur für das Thema sensibilisieren und anderen Elektromobilisten den Tipp geben, immer ein wachsames Auge auf die Abrechnung zu haben, denn auch wenn das Risiko noch recht gering ist, so könnte es irgendwann doch zum Problem werden.

[Heesi]

Bei meiner Abrechnung steht Ort Datum und Zeit.
Sollte da etwas nicht stimmen, wird Einspruch erhoben.
Und es ist in der heutigen Zeit kein Problem zu beweisen wann das Auto wo geladen hat.

[chrisgrue]

Wenn mann die WB aufbricht, wird man schon an Daten kommen, die Nummern erraten, kann man auch versuchen, viel Spaß an Österr. Autobahnraststationen und Parkplätze, sind alle Videoüberwacht.

Ich kenne den CCC, auch div. aus der Anfängerzeit, gut das es sie nach wie vor gibt, aber manche Sachen sind halt sehr konstruiert und in der Praxis nicht relevant. Obiges Thema ist grundsätzlich seit etlichen Jahren bekannt, in Verbindung mit Ladesäulen auch schon einige Monate, auch den Betreibern (welche die Lücke auch verwenden um Kartenpools für Firmen etc zu machen, alle Karten der gleichen Gruppe, haben die gleichen IDs etc)

PS: Bei 2 von 3 Karten die ich habe, sehe ich die Ladevorgänge, bevor irgendwann die Abrechnung kommt.

[Ecano]

Ich sehe das nicht so locker wie ihr.

Da wird ein neues System mit riesigen Sicherheitslücken aufgebaut.
Es erfolgt keine gesicherte Authentifizierung. Über diese System erfolgen Abrechnungen, die mein Konto belasten. Die verlangte Gebühr ist nicht sofort transparent ersichtlich und oft erst in einer späteren Abrechnung aufgeführt. Die Reklamationsbearbeitung ist (oft) mangelhaft, die Antwortzeiten der Provider unzumutbar. Die Abrechnungspreise steigen ja auch. Und wo Lücken sind, werden bestimmt Tricks gefunden, um richtig abzuzocken.

Und das finden manche hier ok??? Das Verhalten verstehe ich nicht.

[voll_geladen]

Also die Sicherheitslücken werden in absehbarer Zeit ja sicher auch geschlossen. Welches Zahlungssystem sich letztlich durchsetzt (RFID, EC- oder Kreditkarte, App) ist aktuell noch völlig offen. Aber akuten Handlungsbedarf sehe ich zur Zeit auch nicht. Die Wahrscheinlichkeit eines Missbrauchs ist gering und wenn trägt der Betreiber das Risiko.

[Elwynn]

Trotzdem muss der Kunde erst einmal eine Reklamation erstellen, die Beträge rückbuchen lassen etc pp... Und das teilweise 2 Monate nach der angeblichen Ladung. Das ist absolut inakzeptabel. Und wenn du den Vortrag zum Thema gesehen haben solltest, da wird erklärt, dass die Authentifizierungscodes der einzelnen Ladekarten quasi einfach bei 000000000 begonnen wurden und dann hochgezählt wurden...

D.h. jeder mit ein paar Blankokarte (im Centbereich) und einem selbstgebauten Schreibgerät für unter 100€kann sich einfach einen Stapel davon erstellen, nacheinander ausprobieren (gibt ja keine Sperre, dass nach Bspw 3 falsch gelesenen Karten wenigstens die Säule für 5min blockiert wird oder ähnliches) und dann geht das Gratisladen los. Da es auch weder Autokommunikation gibt (wodurch man vllt eine Seriennummer herausbekommen könnte) noch Videoüberwachung, wird der Betrüger also ganz einfach damit davon kommen.

Es hat nur noch niemand gemacht...Und da jetzt zu sagen, es gäbe kein Problem, nur weil solche AKtionen noch nicht von Banden professionell betrieben werden, ist grob fahrlässig.

Und das finden manche hier ok???

Wer findet das hier ok?
Ich glaube, du verwechselst hier etwas.

Es wird hier aktuell nur kein Handlungsbedarf gesehen, jedenfalls nicht so dringend, wie es manch einer meint, fordern zu müssen.
Daß sich zukünftig was ändern muß, weiß und befürwortet auch jeder.

[voll_geladen]

Wer soll den für die kaum mehr als 10 Euro pro Stunde , die man aus einer Schnellladesäule ziehen könnte, das Risiko eingehen, vor dem Strafgericht zu laden. Selbst wenn das Entdeckungsrisiko gering sein sollte, so blöd sind selbst Kriminelle in der Regel nicht.

[doktorevil]

Für die angesprochenen Schadensfälle die ihr hier beschreibt wird sich sicher keine Polizeistreife auf den Weg machen und es wird auch sicher kein Gerichtsverfahren für die genannten Schadenssummen geben.

Der Vortrag zielt in seiner Grundaussage nicht auf die Schädigung einzelner durch Kriminelle sondern auf fundamentale Designfehler bei der Errichtung einer neuen Infrastruktur. Der Punkt IT Sicherheit wurde einfach komplett ignoriert. Ich denke das war nur der erste Warnschuss in Richtung Betreiber, da kommt sicher noch einiges.

Kritisch für uns Verbraucher wirds erst wenn mal das ganze mal größer und evtl. International losgeht. Sprich meine ID landet zufällig auf nicht einer sondern vielleicht 100 oder 1000 Karten irgendwo im Ausland und 6 Wochen später kommt die große Rechnung.
An der Stelle merken die Betreiber dann uups wir können das ganze jetzt nicht mehr sicherer machen...

Kritisch für die Betreiber wird es erst wenn jemand sich z.B. in alle Ladesäulen eines Betreibers einhackt und dann anfängt Betreiber zu erpressen oder alle Ladesäulen stilllegt oder aus Spaß alle IDs einmal durchwürfelt.

Aluhut auf
Außerdem möchte ich persönlich mein Auto nicht an einer kompromitierten Ladesäule anschließen die dann über CCS die Spannung hochdrehen kann bis die Karre in Flammen steht.
Aluhut wieder runter.

[Elwynn]

Das mit dem hacken wurde ja auch angesprochen. Da die Dinger im Netz sind und kaum/keine Sicherheiten haben, kann man da auch einfach alternative Software draufschieben und die bspw umsonst laden lassen... Oder die eigene Karte aus dem Ladelog entfernen. Oder, wie bereits geschrieben, die Spannung hochdrehen, da die Säulen anscheinend nur mit paar Schlitzschrauben gesichert sind und nicht einmal verplombt sind und und und... In den 40 Minuten des CCC-Vortrages wurden ein halbes Dutzend Angriffsszenarien genannt, die minimalsten Aufwand erfordern.

Sowas ist einfach absolut inakzeptabel...