Angriffsziel Wallbox

Kaspersky hat mal was zu den Ladegeräten geschrieben:
https://securelist.com/remotely-control ... ies/89251/

Und hier der Link zum Paper:
https://media.kasperskycontenthub.com/w ... _final.pdf

Simple EVSE hat diesen ganzen Steuerungskram nicht und deshalb völlig sicher. Meine ICCBs haben auch genau 0 Angriffsfläche und das ist genau richtig so. Wallboxen sind jetzt sicher nicht so die kritische Infrastruktur das Auto selbst halte ich für viel stärker gefährdet, da man mit dem richtigen Hack das Ding u.a. auch von der Autobahn werfen kann.

MfG
Michael

Es geht im Zweifelsfall nicht darum ob man mit der Wallbox das Auto explodieren lassen oder das Haus in Brand stecken kann.

Es geht, wie bei vielem IoT Zeugs, darum das man weltweit verteilt in Summe Millionen von Systemen unter seiner Kontrolle hat die dann andere Ziele im Netzwerk angreifen können. Sei es um Spuren zu verwischen, sei es um durch die schiere Anzahl von Systemen die Ziele zu überlasten. Ob das Botnetz dann aus Routern besteht, oder Druckern, Glühbirnen oder Wallboxen spielt da keine Rolle. IoT Devices tendieren dazu, gerade wenn sie von fachfremden Menschen, unter riesigem Kostendruck, oder beides entwickelt werden, notorisch unsicher zu sein.

Das S in IoT steht für Security.

Nicht nur die Wallbox ist ein Angriffsziel auch jeder Wechselrichter ist unsicher. Hierüber kann sich ins System eingeloggt werden und dann das angeschlossene BMS manipuliert werden mit entsprechenden Szenerien.

Die Ursache ist doch, dass kaum noch einer in Maschinensprache programmieren will oder kann und dann überall ein "Full blown OS" drinsteckt ala Raspberry statt eines Controllers, der spezifisch seine Aufgabe verrichtet. Das OS regelmäßig updaten mag natürlich keiner...

Was nicht da ist kann auch nicht manipuliert werden. Die Kommunikation zwischen der WB und das Auto benötigt keinen Controller o.ä. Zeug. Mit eine einfache Steuerung ohne IT-Netzwerkanschluss hat man das Problem nicht. Spätestens nach 6 Monate schaut man sich gar nicht mehr an wann und wie viel geladen wurde. Der Akku muss nur voll sein, wenn ich los fahren will. Die Argumenten wie "der Akku muss zum Abfahrtzeitpunkt nur soviel geladen sein, dass ich mein Ziel erreiche" sind nur vorgeschoben damit man sein aufwendiges IT-System rechtfertigen kann. Spätestens wenn man dann noch was unvorhergesehenes erledigen will hat man ein Problem. Ich jedenfalls stecke Abends, wenn ich nicht mehr weg muss, das Auto an egal wie voll der Akku ist. Morgens ist der Akku dann in jedem Fall voll und ich brauche mir für den Rest des Tages keine Gedanken mehr machen. Auch wenn ich irgendwo stehe und eine Lademöglichkeit besteht wird angesteckt und geladen. Was drin ist ist drin und spare mir ggf. die Überlegungen ob ich den spontanen Umweg mit der Akkuladung noch bewältigen kann.

winwou hat geschrieben:Spätestens nach 6 Monate schaut man sich gar nicht mehr an wann und wie viel geladen wurde.

Deine Überlegung mag für den Normaluser unter Umständen gültig sein. Es gibt aber auch Menschen, die ihre Ladeenergie nachweisen müssen, beispielsweise für steuerliche Zwecke.

Seine eigene (einfache) Welt einfach allen anderen überzustülpen funktioniert genausowenig wie umgekehrt jedem zu sagen, er braucht umfangreiche Technik.

Sir Henry hat geschrieben:Es gibt aber auch Menschen, die ihre Ladeenergie nachweisen müssen, beispielsweise für steuerliche Zwecke.

Dafür ist ein Netzwerkzugang ungeeignet da für Abrechnungszwecke unzulässig. Da hilft nur ein zertifizierter Zähler (MID) und zum Ablesen genügt ein Blick auf den Zählerstand. Für steuerliche Zwecke reicht dies wie bei jedem anderen Zähler einmal im Jahr.

Sir Henry hat geschrieben:Seine eigene (einfache) Welt einfach allen anderen überzustülpen funktioniert genausowenig wie umgekehrt jedem zu sagen, er braucht umfangreiche Technik.

Ich habe nur das gesagt, was ich in jahrelange Berufserfahrung in den verschiedensten Bereichen festgestellt habe.

Man hat in vielen Geräte eine "Must-Have-Technik" als nur vordergründiges Verkaufsargument drin. Dass man sich damit ein trojanisches Pferd ins Haus holt, kann man nicht oft genug betonen. Weniger ist hier mehr, nämlich mehr Zuverlässigkeit und mehr Sicherheit. Was nicht drin ist kann nicht kaputt gehen und auch nicht gehackt werden.

IT Sicherheit dadurch erreichen zu wollen, dass man IT verbannt ist aber auch nicht unbedingt zielführend.

winwou hat geschrieben:

Sir Henry hat geschrieben:Es gibt aber auch Menschen, die ihre Ladeenergie nachweisen müssen, beispielsweise für steuerliche Zwecke.

Dafür ist ein Netzwerkzugang ungeeignet da für Abrechnungszwecke unzulässig. Da hilft nur ein zertifizierter Zähler (MID) und zum Ablesen genügt ein Blick auf den Zählerstand. Für steuerliche Zwecke reicht dies wie bei jedem anderen Zähler einmal im Jahr.

Stimmt so nicht unbedingt. Ich rechne seit Jahren meinen gewerblichen Strom aus dem privaten über einen einfachen Zähler raus. Das ging immer problemlos durch.

Deine Variante funktioniert auch nur, wenn Du nur ein E-Auto hast oder das immer (und exklusiv) an der selben Ladestation betreibst. Sobald Du ein privates und ein geschäftliches Auto hast, wirds entweder unflexibel oder die Situation kann fast nicht mehr abgebildet werden.
Und wenn Du Dir den ganzen Ärger mit dem Vor-Ort-Messen nicht antun willst, gibts Anbieter, die das steuerlich verwertbar für Dich übernehmen. Dann aber eben auch vernetzt.