Sicherheit von Ladesäulen

Sicherheit von Ladesäulen

Beitragvon Daniel » Mi 24. Jan 2018, 12:28

Das Durchsuchen des Forums hat leider nicht viel gebracht, deshalb verzeiht mir bitte, sollte dieses Thema bereits irgendwo behandelt worden sein. Gestern wurde ich von einem Bekannten auf die Sicherheitslücken bei der Authentifizierung und Abrechnung an Ladesäulen aufmerksam gemacht, hierzu gibt es ein Video von einem Vortrag beim CCC (Chaos Computer Club). Ich habe das auch erst abgetan und mir gedacht dass es dabei wieder um einen Bashingversuch gegen Elektromobilität geht. Das ist allerdings nicht der Fall. Der Redner hat sich intensiv mit den Sicherheitslücken rund um die Infrastruktur der Ladesäulen beschäftigt und das Ergebnis ist erschreckend ! Er selbst ist PRO Elektromobilität eingestellt, hat selbst ein Elektroauto bestellt und arbeitet für das Fraunhofer-Institut an einer Lösung für Ladesäulen für Mitarbeiter und einem Abrechnungssystem.
Betroffen sind nahezu alle RFID-Karten, auch The New Motion, welche ja viele von uns nutzen. Erschrocken bin ich auch über die Reaktion von Going Electric, welche den CCC als Aluhutträger bezeichnet und das Ganze lapidar als Bashing gegen Elektroautos abtut. Es ist gut, dass es Institutionen wie den CCC gibt, um eben solche Sicherheitslücken aufzutun. Spätestens, wenn die erste RFID-Karte gehackt wurde und ein Nutzer Opfer wurde, ist das Geschrei groß. Ich denke, jeder der dieses System nutzt, sollte sich der Risiken bewußt sein und dieses Video betrachten, um im Anschluß sorgfältig die Rechnungen zu prüfen und argumentativ im Falle eines Widerspruchs gerüstet zu sein.

https://youtu.be/xU18ylN3gPE
Sangl-Nr. 157, Hyundai IONIQ Elektro Premium in Polar White - bestellt am 24.02.2017 angekündigt für Mai 2017 storniert am 12.06.2017 und Mercedes B250e Vorführer gekauft
Benutzeravatar
Daniel
 
Beiträge: 215
Registriert: Mi 18. Sep 2013, 21:07
Wohnort: Groß-Gerau

Anzeige

Re: Sicherheit von Ladesäulen

Beitragvon streetfighter » Mi 24. Jan 2018, 12:35

Wenn Du die suche nutzt dann wirst Du die Person auch hier ausfindig machen
Benutzeravatar
streetfighter
 
Beiträge: 510
Registriert: Mo 18. Aug 2014, 13:29

Re: Sicherheit von Ladesäulen

Beitragvon Solarmobil Verein » Mi 24. Jan 2018, 12:38

Gibt schon einen Thread hierzu.
oeffentliche-ladeinfrastruktur/ladekarten-sind-unsicher-wie-man-auf-fremde-rechnung-laedt-t27590.html

Daß sich zukünftig was ändern muß, keine Frage.
Derzeit ist das Problem zwar praktisch vorhanden, aber eher theoretischer Natur.
Denn es ist ja nicht so, daß du jemandem im Vorbeigehen was abnehmen kannst. Du mußt dich schon ein oder mehrere Stunden hinstellen und mit der geklauten ID laden. Und das kann festgestellt werden.

Wie schnell hast du dein E-Auto abgesteckt, bist reingesprungen und fährst mit halb vollem Akku los (mußt ggf. das 250 Euro teure Ladekabel zurücklassen), verfolgt von einem Polizeifahrzeug mit Verbrennungsmotor?
Hört sich nicht wirklich nach einem lukrativen "Geschäftsmodell" an ...
Solarmobil Verein
 
Beiträge: 905
Registriert: So 27. Mär 2016, 20:28

Re: Sicherheit von Ladesäulen

Beitragvon Daniel » Mi 24. Jan 2018, 13:07

Also meine Suche nach Sicherheit ergab 455 Seiten, die habe ich nicht alle durchgeblättert ;)

Wann würde es denn heraus kommen, dass jemand mit einer fremden ID lädt ? Doch nur dann, wenn die ID zum gleichen Zeitpunkt genutzt wird und das Risiko dürfte recht gering sein. Natürlich geht es da nicht um Unsummen aber wenn Elektromibilität sich weiter verbreitet, was wir ja alle hoffen, dann könnte auch das Interesse daran wachsen, kostenfrei zu laden (bzw. auf Kosten anderer)...
Sangl-Nr. 157, Hyundai IONIQ Elektro Premium in Polar White - bestellt am 24.02.2017 angekündigt für Mai 2017 storniert am 12.06.2017 und Mercedes B250e Vorführer gekauft
Benutzeravatar
Daniel
 
Beiträge: 215
Registriert: Mi 18. Sep 2013, 21:07
Wohnort: Groß-Gerau

Re: Sicherheit von Ladesäulen

Beitragvon Solarmobil Verein » Mi 24. Jan 2018, 13:15

Wenn der tatsächliche Besitzer der ID schon öfters "Mißbrauch" angezeigt hat, ist es relativ einfach, aber mit etwas Handarbeit verbunden.
Der tatsächliche Besitzer lädt ja üblicherweise meist an den gleichen Stationen. Wenn da nun Ausreißer dabei sind, kann man das vom System melden lassen, sobald die Authentifzierung erfolgt.
Dann Anruf beim tatsächlichen Besitzer, ob er es ist. Nein? => Mal eine Polizeistreife an der genutzen Säule vorbeischicken.

Oder dem tatsächlichen Besitzer eine neue Karte geben und sofort eine Streife losschicken, sobald mit der geklauten ID eine Anmeldung erfolgt.

Ich denke, der "Gewinn" steht in keinem Verhältnis zum Risiko, dabei erwischt zu werden.
Solarmobil Verein
 
Beiträge: 905
Registriert: So 27. Mär 2016, 20:28

Re: Sicherheit von Ladesäulen

Beitragvon chrisgrue » Mi 24. Jan 2018, 13:19

Daniel hat geschrieben:
Wann würde es denn heraus kommen, dass jemand mit einer fremden ID lädt ?


Spätestens wenn du Reklamierst, die Schadenshöhe ist recht gering, das Risiko Erwischt zu werden, ist dabei jedoch sehr hoch.

Davon abgesehen, musst du erst mal meine RFID Karte in die Finger bekommen, damit du eine Kopie machen könntest.

Fazit: Es gibt viele Wege illegal reich zu werden, das ist ein ganz schlechter, man wird nicht reich und erwischt wird man auch so gut wie sicher.

Das ist nur eine Lücke in der Theorie, Bankomatkarten klonen ist da erheblich lukrativer oder kleinen Kindern den Lolli klauen.
cu
Chris - Sangl 87, Bestellt 07.01., Produziert 26.04., Papiere am 03.07., Abholung am 13.07.
chrisgrue
 
Beiträge: 379
Registriert: Mo 12. Dez 2016, 11:02
Wohnort: in einem Dorf nahe Grieskirchen/Wels

Re: Sicherheit von Ladesäulen

Beitragvon 0x00 » Mi 24. Jan 2018, 14:09

also soweit ich das verstanden habe brauche ich nicht deine Karte vorher clonen sondern nehme einfach eine ID spiele diese auf eine neue karte auf. sicher kann ich dich nicht gezielt angreifen ohne die ID zu kennen aber irgendwen wird es damit erwischen. sehe hier definitiv handlungsbedarf bei den Betreibern.
Blog: Erfahrungsbericht neuer Nissan Leaf 2018 - https://e-klar.xyz/2018/03/16/der-umsti ... -ein-ende/

Kona EV in Farbe Tangerine Comet: https://e-klar.xyz/2018/09/27/abschied- ... i-kona-ev/
0x00
 
Beiträge: 775
Registriert: Do 18. Aug 2016, 14:15
Wohnort: Wien

Re: Sicherheit von Ladesäulen

Beitragvon Daniel » Mi 24. Jan 2018, 14:22

chrisgrue hat geschrieben:

Davon abgesehen, musst du erst mal meine RFID Karte in die Finger bekommen, damit du eine Kopie machen könntest.

Fazit: Es gibt viele Wege illegal reich zu werden, das ist ein ganz schlechter, man wird nicht reich und erwischt wird man auch so gut wie sicher.

Das ist nur eine Lücke in der Theorie, Bankomatkarten klonen ist da erheblich lukrativer oder kleinen Kindern den Lolli klauen.


Zum einen braucht es keine RFID Karte, die man klonen kann, der Redner geht auf diesen Punkt ein. Es gibt wohl eine recht hohe Wahrscheinlichkeit, eine passende ID zu erraten, alternativ lassen sich Ladesäulen wohl mittels USB-Stick auslesen und dort werden die Nummern der letzten Karten geloggt.
Noch ist das sicher uninteressant, da die Commutity der Elektroautofahrer noch klein (und ehrlich) ist und es auch nur um kleine Beträge geht. Nehmen wir aber mal an man belässt es auch für die Zukunft bei dieser Art der Authentifizierung, es werden Fahrzeuge mit größeren Akkus folgen und die Anzahl der Nutzer wird größer. Damit wächst auch die Gefahr dass schwarze Schafe dabei sind, die sich freuen, auf Kosten anderer Laden zu können. Beim Roaming braucht es 4 Wochen, bis die Abrechnung da ist, da reicht es, nach 4 Wochen eine andere ID zu verwenden um das Risiko, erwischt zu werden, zu minimieren.
Fakt ist, da gibt es eine Sicherheitslücke und man sollte diese beim Schaffen einer flächendeckenden Infrastruktur schließen anstatt das lapidar als Spinnerei von Aluhutträgern abzutun, deren Ziel es ja nur ist, Elektromobilität schlechtzureden. Wir sollten froh sein, dass es Institutionen wie den CCC gibt, welche Sicherheitslücken aufdecken !
Ich verfalle trotz des Beitrags nicht in Paranoia, da ich ohnehin jeden Ladevorgang dokumentiere, würde mir bei der Abrechnung sofort auffallen, wenn etwas nicht stimmt und Dank Gonium hätte ich auch genügend Argumente gegenüber TNM & Co ;)
Sangl-Nr. 157, Hyundai IONIQ Elektro Premium in Polar White - bestellt am 24.02.2017 angekündigt für Mai 2017 storniert am 12.06.2017 und Mercedes B250e Vorführer gekauft
Benutzeravatar
Daniel
 
Beiträge: 215
Registriert: Mi 18. Sep 2013, 21:07
Wohnort: Groß-Gerau

Re: Sicherheit von Ladesäulen

Beitragvon Solarmobil Verein » Mi 24. Jan 2018, 14:32

Daniel hat geschrieben:
..., alternativ lassen sich Ladesäulen wohl mittels USB-Stick auslesen ...
Und wo schließt du den an?
Ich habe noch nie eine Ladesäule gesehen (und ich habe schon sehr viele gesehen), die einen frei zugänglichen USB-Anschluß gehabt hätte.

Unterm Strich bleibe ich dabei, daß das Verhältnis aus Gewinn und Risiko einfach zu schlecht ist - egal wieviele E-Fahrer es gibt -, damit das wirklich lukrativ ist.
Ansonsten ist es auch so, daß das eher ein Problem der Betreiber und Abrechner ist, nicht eines des E-Fahrers. Ok, der muß sich halt melden - und es dürfte vergleichsweise einfach sein, plausibel darzulegen, daß man an der beanstandeten Säule die Ladung nicht vorgenommen hat.
Wenn das dann gehäuft von mehreren oder gar vielen Leuten vorkommt, hat der Anbieter/Abrechnungsdienstleister schon ein ureigenes Interesse daran, die Authentifizierung besser und sicherer zu machen.
Solarmobil Verein
 
Beiträge: 905
Registriert: So 27. Mär 2016, 20:28

Re: "Sicherheit" von Ladesäulen

Beitragvon eDiver » Mi 24. Jan 2018, 14:50

Die Relation AUFWAND zu 'Gewinn' ist sowas von laecherlich ...

und mit dem Akkuschrauber die Ladestation aufschrauben um irgendwo im Inneren
evtw. einen USB-Anschl. (und Reset-Taster) zu finden ... um ein paar Markfuzzich zu ergaunern ???
Vorab die investierte Zeit um sich Wissen ueber das ganzen Gedoens anzueignen ...
Benutzeravatar
eDiver
 
Beiträge: 143
Registriert: Fr 3. Jul 2015, 21:45

Anzeige

Nächste

Zurück zu Betreiber, Roaming und Abrechnung

 
  • Ähnliche Themen
    Antworten
    Zugriffe
    Letzter Beitrag
  • Ähnliche Artikel im Blog

Wer ist online?

Mitglieder in diesem Forum: applefox, Gast und 1 Gast