Über unsMediaKontaktImpressum
Thomas Krauß 13. August 2019

Herausforderungen für die IT-Sicherheit bei der Elektromobilität und autonomem Fahren

Fahrende Computer machen Spaß

Als studierter Informatiker, der den Umgang mit Maus und Tastatur schon vor dem Fahrradfahren lernte, fühle ich mich in der Welt der Computer wohl. Software, Hardware, Volt, Ampere: Das alles interessiert mich, das verstehe ich, da fühle ich mich sicher. Womit ich hingegen 15 Jahre lang nicht klar kam, war die Tatsache, dass mein Auto mit Benzinmotor einen Meter von meinen Beinen entfernt Treibstoff explodieren lässt, der durch Umwandlung in eine Drehbewegung mein Auto nach vorne bewegt.

Durch Autos wusste ich, wie es ist, etwas fast täglich zu gebrauchen, wovon man nicht wirklich eine Ahnung hat wie es funktioniert. Vielen Menschen geht es so mit Computern. Mir aber nicht. Daher war es für mich ein Segen, als in den Jahren 2010 bis 2013 von Renault, BMW, Nissan und Tesla die ersten ernstzunehmenden Elektrofahrzeuge in Serie produziert wurden und ich meinen Benziner mit wirtschaftlichem Totalschaden gegen ein Elektroauto tauschen konnte.

Für mein jetziges Auto gibt es mobile Anwendungen zur Steuerung, Kabel für das Aufladen und jede Menge digitale Interaktionsmöglichkeiten wie Ladesteuerung und Monitoring des Autos per App. Beim Service werden keine Filter und Dichtungen mehr getauscht, sondern Firmwareupdates gemacht. Natürlich lese ich die Firmware-Versionen vor und nach dem Service aus, um mich zu vergewissern, dass die Werkstatt korrekt gearbeitet hat. Meistens weiß ich auch schon vor dem Service sehr genau, was zu tun ist. Batteriemanagement-Feature hier, Leistungsmessungs-Bug da. Ein Elektroauto ist eben ein IoT-Gerät mit Rädern, Lenkung und Bremse.

Autonomes Fahren: Auf den Antrieb kommt es gar nicht an

Was macht ein Elektroauto zu einem IoT-Gerät? Die Batterie ersetzt den Benzintank, der Elektromotor ersetzt den Verbrennungsmotor, das Ladegerät ist ganz neu. Flüssigkeitszufuhr und Abgasabfuhr wurden durch Kabel ersetzt. Doch was macht ein IoT-Gerät eigentlich genau aus? Es sind die digitalen und diejenigen Schnittstellen, die analoge Größen aus der Umwelt messen, sowie die Konnektivität, die ein IoT-Gerät zu einem Kommunikationspartner und Helfer machen. Digitale Schnittstellen sind beispielsweise Webservices für Apps, Ladesäulenprotokolle für die Ladeinfrastruktur und mehrere CAN-Bus-Systeme, über welche alle Autokomponenten miteinander kommunizieren.

Bei Autos fing es mit digitalen Schnittstellen bei der Servolenkung und dem Antiblockiersystem (ABS) an. Analoge Schnittstellen gewinnen in der heutigen Zeit immens an Bedeutung. Es werden immer mehr Radarsensoren, Lidar-Systeme und Kameras in Autos verbaut. Sie dienen zum Abtasten der Außenwelt, um Fahrassistenzsysteme oder sogar teilautonomes Fahren zu ermöglichen. Die Informationen aus den digitalen und analogen Systemen werden in immer leistungsstärkeren Rechensystemen zusammengeführt. Bei der Version 3 der Autopilot Hardware, die Tesla in den kommenden Wochen verbauen will, ist von 144 Teraflops an Rechenleistung die Rede. Zum Vergleich: Der schnellste Computer Deutschlands im Jahr 2006 hatte eine Rechenleistung von 45,6 Teraflops. Die Rechenleistungen neuer Generationen von Spielekonsolen sollen im Bereich von 15 Teraflops liegen. Diese leistungsstarken Hardware-Komponenten zusammen mit komplexer Software kümmern sich um die Lenkung, das Bremsen und das Auslesen sowie Verarbeiten von Fahrzeugdaten. Hinzu kommt nun verstärkt die Erfassung der Umgebung, um Fahrer zu warnen, ihnen zu helfen oder sie in Zukunft vollständig von der Aufgabe des Steuerns zu befreien. Die meisten dieser Funktionen haben gar nichts mit der Antriebsart zu tun, sondern sind der Entwicklung geschuldet, dass der Fortschritt des Elektroautos und der des intelligenten Autos nahezu zeitgleich stattfinden.

Autos: mit Sicherheit unsicher?

IoT-Geräte, digitale Schnittstellen, Rechenleistung: Mit Elektroautos sind Themenbereiche eng verknüpft, die gegenwärtig intensiv unter dem Aspekt Sicherheit diskutiert werden. Wenn wir von der Sicherheit von Webseiten, mobilen Anwendungen und Laptops reden, liegt unser Fokus auf dem unerlaubten Zugriff auf private Daten, wir denken an geplünderte Bankaccounts oder kopierte Firmengeheimnisse. Zwar spielen diese Themen bei Autos auch eine gewisse Rolle, das Hauptaugenmerk liegt jedoch auf der Abwendung der Gefahr von Verkehrsunfällen.

Verkehrssicherheit damals und heute

Wir kennen es alle aus Krimis: Das manipulierte Auto verweigert den Bremsvorgang oder lenkt automatisch in den Straßengraben. Wer nicht gerade mit einem Lada Niva 1 oder einem VW Iltis aus den 1980er Jahren unterwegs ist, wird bereits eine große Anzahl an elektronischen Helfern in seinem Auto mit an Bord haben. Insbesondere seit elektronische Komponenten Zugriff auf das Verhalten von Lenkung und Bremsung haben, sind die Szenarien aus den Krimis möglich.

Ob es sich bei Autos mit elektrischen Komponenten um ein High-End-Elektroauto oder einen 10 Jahre alten Benziner aus dem niedrigpreisigen Segment handelt, ist hierbei zuerst einmal nicht relevant. Die Technik, um in die Lenkung und das Bremsverhalten einzugreifen, ist seit der Servolenkung und dem Antiblockiersystem vorhanden. Die Erfahrungen aus der Sicherheitsbranche zeigen, dass moderne Systeme zwar auf der einen Seite mehr Angriffsfläche bieten, jedoch in ältere Produkte weniger Zeit und Energie bzgl. Fragen der Sicherheit investiert worden ist. Gerade Elektro- und IT-Technik aus den 1980ern und 1990ern zeichnen sich oft dadurch aus, dass sie ohne den Gedanken entwickelt wurden, dass jemand diese Technologien auch böswillig anwenden könnte. So begleiten uns noch unsichere Relikte aus der Vergangenheit wie das ARP- und das DNS-Protokoll bei Netzwerken oder SCADA- und ICS-Architekturen, die häufig veraltete, unsichere Protokolle bei Industrieanlagen einsetzen. Die Versuche, hier durch Flickwerkzeug und Abschottung Angriffe zu verhindern, sind vergeblich.

Sehr ähnlich verhält es sich bei Autos. Autokomponenten in alten Autos kommunizieren über den CAN-Bus. Auch in die Entwicklung dieses Protokolls floss nicht der Gedanke mit ein, dass jemand mit krimineller Energie Verständnis und Motivation aufbringen kann, es zum Schaden anderer auszunutzen. Die Datenpakete des CAN-Systems haben nicht einmal einen Absender, der überprüft wird und somit gefälscht werden müsste. Aktuell sollen Firewall-artige Barrieren Sicherheit schaffen, die zumindest Datentypen aus unterschiedlichen Kreisläufen trennen sollen. Ziel ist, zu verhindern, dass ein Multimedia-System der Bremse den Befehl schicken kann, eine Vollbremsung zu machen. Meistens funktioniert dieser Schutz sogar, er ist aber weit von dem entfernt, was wir heute als State of the Art bei Schutzmechanismen kennen. Authentifizierung und Autorisierung waren kein Kernthema als dieses Protokoll entwickelt wurde.

Feindlicher Zugriff: physisch oder aus der Ferne

Auf mehreren Hackerkonferenzen wie beispielsweise der DEF CON und der Black Hat wurden in den letzten Jahren kritische Schwachstellen bei Autos vorgestellt. Die Fremdsteuerung der Lenkung und der Bremsen ist hierbei aus fachlicher Sicht am eindrucksvollsten. Doch was in den meisten Fällen sehr publikumswirksam demonstriert werden konnte, benötigt in der Regel physischen Zugriff auf das Bus-System des Autos. Teilweise musste das halbe Armaturenbrett auseinandergenommen werden oder es war zumindest der lokale Anschluss an den etablierten OBD-2-Stecker nötig. Der technisch und fachlich bisher brisanteste Fall wurde im Multimedia-Service Uconnect gefunden. Dieser ist in Autos der Marken Chrysler, Jeep, Dodge, Ram und Fiat verbaut. Hier ist es Forschern gelungen, über die Netzwerkschnittstelle das Multimedia-System so zu manipulieren, dass sie eigene Nachrichten über den CAN-Bus an das Bremssystem schicken konnten. Um diese Schwachstellen zu beheben, war ein Besuch beim Kundendienst oder die manuelle Aktualisierung mit einem USB-Stick nötig. Dieses Beispiel ist auch deswegen interessant, weil der Angriff über das Internet möglich war, nicht aber die Behebung der Schwachstelle. Dies führt dazu, dass Autos eventuell wochen-, monate- oder ein Autoleben lang mit einer bekannten Sicherheitslücke auf der Straße unterwegs sind.

Mit Bug-Bounty-Programmen sollen Sicherheitsforscher dafür belohnt werden, Schwachstellen zu finden.

Modernere Autos ermöglichen bereits sogenannte "Over the Air"-Aktualisierungen der Multimedia-Software. Tesla Motors hat als erster Hersteller gewagt, auch Updates über WLAN und Mobilfunk für sicherheitsrelevante Softwarekomponenten wie die Bremsen anzubieten. Wie bereits im oberen Negativbeispiel gezeigt, kann man so auf Schwachstellen sehr schnell reagieren, während man gleichzeitig aber eine neue Angriffsfläche schafft. Wer Erfahrung mit Softwaretests hat, weiß: Die Sicherheit von Aktualisierungsroutinen hängt von solidem Fachwissen, gewissenhaftem Arbeiten und konsequentem Implementieren ab. Die bekanntesten Beispiele sind regelmäßige Aktualisierungen bei Betriebssystemen wie Android und iOS. Um diese sicher zu gestalten, müssen Transportverschlüsselungen sowie Zertifikats- und Signaturchecks konsequent durchgeführt werden. Alternativroutinen zur Aktualisierung im Programmcode, die die Sicherheit gefährden, um die Handhabung zu erleichtern, sind dringend zu vermeiden. Denn bezogen auf die Sicherheit geht es ums Ganze. Dies spiegelt sich auch in modernen Bug-Bounty-Programmen einiger Autohersteller wider. Mit solchen Programmen sollen Sicherheitsforscher dafür belohnt werden, Schwachstellen in Produkten zu finden. Die höchsten Summen werden in der Regel für Manipulationen am Aktualisierungsprozess sowie für das Aufspielen von veränderter Firmware ausgelobt. Für Autohersteller spielt in Zukunft Fachwissen in IT-Systemen und Kryptographie zu Recht eine entscheidende Rolle.

Mehr Transparenz durch neue Protokolle

Eine wichtige Neuerung, die es in der Autobranche aktuell gibt, ist die Entwicklung von transparenteren und verständlicheren Protokollen. Die neuen Protokolle setzen teilweise auf Technologien auf, die in der Computer- und Smartphonewelt bereits etabliert sind. Technologien wie TCP/IP, TLS und Zertifikate sind in diesen Protokollen enthalten. Das hat mehrere grundlegende Vorteile. Bei diesen Protokollen gibt es solide Erfahrungswerte zur sicheren Implementierung und Konfiguration, Dos und Don‘ts sind leicht nachlesbar. Ein weiterer Vorteil ist, dass im Vergleich zu klassischen CAN-Bus-Systemen weitaus mehr Menschen die Technologien verstehen, diese daher effektiver analysieren und auch verbessern können. Mit dem zunehmenden Einsatz dieser Protokolle – und das ist von besonderer Wichtigkeit – geht einher, dass Sicherheitsfunktionen direkt mit einem erheblichen Stellenwert einplant werden. Dieser Ansatz gewinnt fast ausnahmslos gegen das Stopfen designbedingter Schwachstellen von veralteten Protokollen. Somit ist bei diesem Aspekt in der nahen Zukunft ein hoher Sicherheitsgewinn zu erwarten.

Autonomes Fahren: Ein neues Sicherheitsrisiko?

Geht es um Sicherheit in der Automobilindustrie, ist das autonome Fahren ein drängendes Thema. Die Frage, ob autonomes Fahren in Bezug auf die Sicherheit eine Herausforderung ist, muss man mit einem klaren "Jein" beantworten. Es gibt beispielsweise die kontroversen Diskussionen darüber, welche Entscheidungen ein autonomes Fahrzeug trifft, wenn seine Sensoren in die Irre geführt werden – sei es mit Alufolie am Radarabstandsmesser oder einem Bild vor der Kamera. Solche Manipulationen führen beim Erkennungssystem zu einer Fehlerkennung und folglich beim Interpretationsmodul zu einer Fehlinterpretation. Dies wiederum resultiert in einer Fehlentscheidung der Algorithmen und somit einer Gefahr im Straßenverkehr. Diese Sicherheitsgefahr besteht und sie muss diskutiert und getestet werden.

Wird die visuelle Wahrnehmung gestört, kann das Auto nur noch mit Gehör und Intuition gefahren werden.

Allerdings muss bei Sicherheitsfragen auch die Sicherheit der Alternativsysteme betrachtet werden. Zum aktuellen Zeitpunkt ist die Alternative zum autonom fahrenden PKW der manuell gesteuerte PKW. Eine Analogie zur Alufolie am Sensor wäre hier beispielsweise der Farbeimerwurf auf die Windschutzscheibe eines fahrenden PKW. Bei einem menschlichen Autofahrer ist die visuelle Wahrnehmung die fundamentale Komponente im System. Wird diese gestört, kann das Auto nur noch mit Gehör und Intuition gefahren werden. Dass diese Fahrweise unsicher ist, bezweifelt niemand.

Hinsichtlich der Störung der Wahrnehmungssensoren steht es im skizzierten Beispiel somit eins zu eins zwischen Mensch und Maschine. Die Sicherheit des Faktors Mensch im Verkehr könnte durch weitere Einschränkungen beim Mindest- und Höchstalter für die Fahrerlaubnis, durch die Reduzierung der maximal erlaubten Geschwindigkeit sowie durch strengere Vorschriften zum Verhältnis von Lenk- und Pausenzeiten erhöht werden.

Autonomes Fahren: Sicherheitsrisiken reduzieren

Und wie kann man die Sicherheit eines autonomen Autos verbessern und die Wahrscheinlichkeit von Manipulationen reduzieren? Dazu gibt es mehrere Ansätze. Bei den Sensoren hilft Redundanz. So kann beispielsweise eine Umgebung über Kameras, Ultraschallsensoren und Lidar-Laserscanner gleichzeitig wahrgenommen werden. Dies ermöglicht, relativ leicht zu erkennen, wenn eine der Sensorklassen falsche Werte liefert. Die anderen beiden Sensoren würden der Wahrnehmung widersprechen. Ein weiterer Sicherheitsmechanismus kann eine Anomalieerkennung sein, die auf der Basis von Zukunftserwartungen funktioniert, die durch Vergangenheitsdaten erstellt werden. Durch eingespielte 3D-Kartendaten, die in der Vergangenheit erhoben wurden, kann ein Auto dann beispielsweise errechnen, dass in wenigen Sekunden eine scharfe Rechtskurve kommen muss. Wenn die Kamera aufgrund von Kinderstraßenkreide eine Linkskurve erkennt und der Ultraschallsensor durch starken Regen gar keine Ergebnisse liefert, kann eine Fehlererkennung Alarm schlagen und warnen, dass die Kurvenerkennung eventuell einen Fehler produziert hat.

Eine weitere Möglichkeit, autonome Autos sicherer zu machen, ist das vorausschauende Fahren aufgrund von Ereignissen aus der Vergangenheit. Der Autohersteller Tesla hat diese technische Möglichkeit bereits in ersten Ansätzen implementiert. So reduziert beispielsweise ein teilautonomes Auto die Geschwindigkeit bei Straßenabschnitten, bei denen andere Fahrzeuge in der Vergangenheit aufgrund von Gefahrensituationen starke Bremsmanöver durchführen mussten. Der entscheidende Vorteil, den Technik gegenüber Menschen hat, ist die Menge an Lernzeit. Aus dem Umfeld des maschinellen Lernens ist bekannt: Was ein Roboter in 1.000 Stunden an Erfahrung sammeln kann, können 1.000 Roboter in einer Stunde an Erfahrung sammeln. Diesen Vorteil können Menschen nicht nutzen. Bei Menschen führt nichts daran vorbei, das jeder einzelne die 1.000 Stunden Lernaufwand auf sich nehmen müsste. Die Möglichkeit, Daten zusammenzuführen und zu kopieren, schafft immense Lerngeschwindigkeiten – und dies kommt der Fehlererkennung immens zugute.

Eine weitere Option, die Sicherheit von autonomen Fahrzeugen zu verbessern, ist die Anpassung des Straßenumfeldes. Ein sehr anschauliches Beispiel sind Straßenschilder. Diese sind genau deshalb in Signalfarben, zweidimensional und auf der Höhe von etwa zwei bis fünf Metern, weil Menschen sie so am besten erkennen können. Das Straßenumfeld ist dem Wahrnehmungsapparat des Menschen angepasst, er hat auf der Straße Heimvorteil und es ist kein Wunder, dass der Mensch Straßenschilder besser erkennen kann als Autos es tun. Allerdings: Ein autonomes Fahrzeug hätte mit QR-Codes oder digitalen Funksignalen eine viel bessere Erkennungsrate. Drehen wir die Gegebenheiten einmal um: Wie gut könnten Menschen Verkehrsschilder erkennen, wenn diese als QR-Code dargestellt oder per Funk verschickt würden? Auf jeden Fall schlechter als Autos aktuelle Verkehrsschilder erkennen können. Dasselbe gilt für Straßenmarkierungen, Ampeln und nonverbale Kommunikation zwischen Verkehrsteilnehmern. Unter den Gegebenheiten des manuellen Straßenverkehrs tut sich eine Maschine mit der Erkennung schwer. Sofern man das Ziel verfolgt, autonome Fahrzeuge straßentauglich zu machen, könnte viel Entwicklungszeit durch entsprechende Umbau- oder Erweiterungsmaßnahmen eingespart werden, was zugleich die Fehlerrate bei der Erkennung verringert und somit die Sicherheit erhöht.

Bei den Sicherheitsdefiziten durch Schlafmangel, Alkoholkonsum, Ungeduld, Ablenkung und Leichtsinn hingegen punktet eine Maschine bereits heute. Eine weitere Komponentenklasse, in der man die Sicherheit von autonomen Autos verbessern will, ist die Ausfallsicherheit der Ausgabeinstrumente. Eine klassische Lenkung funktioniert heute so, dass ein Mensch das Lenkrad in eine Richtung dreht und die Motoren der Servolenkung beim Drehen der Räder helfen. D. h. bei den meisten heute auf der Straße fahrenden Autos würde die Lenkung auch dann noch funktionieren, wenn die Servolenkung defekt wäre, denn es besteht weiterhin eine mechanische Lenkverbindung zwischen dem Lenkrad und den Rädern. Um diese Art von Ausfallsicherheit bei einem maschinengesteuerten Auto zu realisieren, sind beispielsweise redundante Lenkungsmotoren notwendig.

Feindlicher Angriff: Plan A und Plan B

Ein Trend, den man derzeit bei der Automobilentwicklung beobachten kann, ist die immer höher werdende Anzahl an Fehlererkennungssystemen auf jeder einzelnen Komponente. So verfügen heute viele Bauteile über Temperatur- und Feuchtigkeitssensoren und können entsprechende Gefahren erkennen und melden. Ähnliches wäre über den Bereich des Mechanischen hinaus auch in Bezug auf Hackerangriffe denkbar. Eine Vielzahl an dezentralen Intrusion Detection Systemen (IDS) könnte versuchen, Angriffe auf Komponenten zu erkennen und diese zu melden. Kann man also sagen: Wenn jedes Teil für sich selbst sorgt, ist für alle gesorgt? So einfach ist es sicher nicht. Denn was soll passieren, wenn die Lenkung einen sehr offensichtlichen Hackerangriff erkennt, das aber bei 130km/h auf der Autobahn? Das Verweigern der Lenktätigkeit kann nicht die Lösung sein.

Es braucht also einen Plan B, der durchgeführt wird, wenn Plan A keine Sicherheit mehr gewährleistet. Vorstellbar ist ein nicht überschreibbares Notfallsystem, das zwar sehr wenig kann, dieses Wenige aber sehr zuverlässig leistet. Im Bereich der Smartphones gibt es dazu ein Modell: Die ersten Generationen von Smartphones waren häufig noch der Gefahr ausgesetzt, in einen Zustand namens "Brick" zu verfallen. "Brick" bedeutet "Ziegelstein" und soll verdeutlichen, dass das Gerät durch einen Softwarefehler nie mehr in der Lage sein wird, durch erneutes Bespielen mit Software wieder funktionstüchtig zu werden. Ein Brick konnte insbesondere dann vorkommen, wenn der Softwareeinspielmechanismus beim Aktualisieren beschädigt wurde. Unter dieser Voraussetzung lässt sich auch keine korrigierte Version mehr einspielen. Das Ergebnis dessen ist heute, dass ein elektronisches Gerät meistens einen sehr simplen, aber fest verdrahteten Mechanismus besitzt, um Software einzuspielen. Oft gibt es einen sehr kleinen Bootloader vor dem richtigen Bootloader, der dann das System startet. So ist es immer wieder möglich, eine Software einzuspielen, da der kleine Notfallbootloader nicht zerstört werden kann. Was beim Smartphone der unzerstörbare Bootloader ist, könnte bei einem Auto ein autarkes System sein, das unüberschreibbar ist und nichts anderes kann, als mit eingeschalteter Warnblinkanlage schnellstmöglich sicher am Straßenrand anzuhalten – aber eben sehr zuverlässig und in allen Lagen erfolgreich getestet. Dieses System könnte dann die Steuerung über das Auto übernehmen, wenn das umfangreiche System eine Störung oder einen Angriff erkennt. Diese Schutzmaßnahmen sind unabhängig von der Antriebsart. Was also sind die für Elektromobilität spezifischen Sicherheitsaspekte?

Elektroautos: Chancen und Risiken

Das Spezifikum bei einem Elektroantrieb mit externer Lademöglichkeit ist das Ladesystem.

Batteriesicherheit

Einen maßgeblichen Unterschied, den das Elektroauto in puncto Sicherheit mit sich bringt, ist die Sicherheit der Batterie beim Ladevorgang. Bei einem Benzinauto wäre es zwar ebenfalls möglich, durch die Manipulation einer Tankstelle dafür zu sorgen, dass der automatische Stoppmechanismus der Betankung nicht mehr auslöst. Das würde ein sehr unangenehmes Ende finden, ist aber nicht unbedingt gefährlich. Bei einem Elektroauto funktioniert die Energiezufuhr grundlegend anders. Hier wird eine Batterie mit Strom geladen. Die Ladegeschwindigkeit ergibt sich aus den Parametern Volt und Ampere. In der Regel ist die Spannung in Volt bei einer Ladestation mit 230, 400 oder 800 Volt relativ konstant. Worin sich die Ladevorgänge unterscheiden, ist die Stromstärke in Ampere. Viel Ampere bei schnellem Laden, wenig Ampere bei langsamem Laden. Schnelles Laden erzeugt viel Wärme, die abgeführt werden muss. Wird die Amperezahl erfolgreich weit über die vom Auto vorgesehene Leistung gebracht, kann die Wärme nicht mehr schnell genug abgeführt werden und die Batterie überhitzt, es kommt zum sogenannten thermischen Runaway. Sprich: Der Akku fängt an zu rauchen und später auch zu brennen. Dieses Szenario ist mit dem Elektroauto neu in die Autowelt gekommen und muss unter dem Gesichtspunkt Sicherheit diskutiert werden. Kann ein böswilliger Hacker eine Ladestation so manipulieren, dass das nächste Auto, das dort laden will, Feuer fängt?

Um diese Frage zu erörtern, muss man zuerst die zwei gängigen Ladesysteme besprechen. Unterschieden wird grundlegend in Gleichstrom- und Wechselstromladen. Die meisten Endpunkte unseres Stromnetzes liefern Wechselstrom. So erwartet sowohl die Waschmaschine als auch der Backofen zuhause Wechselstrom. Daher liegt es nahe, dass eine Lademöglichkeit zuhause, am Arbeitsplatz oder am Straßenrand in der Innenstadt mit Wechselstrom betrieben wird. Die Technik dafür ist günstig, die Form des Stroms ist vorhanden. So kann man sich bereits für knapp 250 € die persönliche Tankstelle für die eigene Garage kaufen. Diese Lademöglichkeit ist auch deshalb so günstig, weil sich hier die Ladelogik und das Netzteil im Auto befinden. Als Informatiker gesprochen: Beim Wechselstromladen ist das Auto gewissermaßen der Master und die Ladestation der Slave. Die Wechselstromladestation weiß weder, wie schnell das Auto laden kann, noch wie der aktuelle Batteriezustand ist. Sie liefert auf Befehl die angeforderte Stromstärke. Das Kommunikationsprotokoll wird über drei Widerstandsleiter gesprochen und ist in der Spezifikation IEC 62196-2 festgehalten. Die verschiedenen Zustände, die solch ein Ladevorgang haben kann, werden – vereinfacht gesagt – über eine überschaubare statische Zustandstabelle kommuniziert; der Vorgang ist pragmatisch und einfach. Das Ladegerät, die Steuerelektronik und die Schutzmechanismen liegen dabei primär im Auto. Bei gängigen Wechselstromladesäulen liegt die Ladeleistung bei maximal 43kW Stromstärke, was bei einem Elektroauto Strom für 100km in 20 Minuten hinzufügen kann.

Anders sieht es bei der Gleichstromladung aus. Hier ist die Ladestation schon physisch um ein Vielfaches größer. Gleichstromladesäulen bieten 350kW Ladeleistung, was 100km in 3,5 Minuten ermöglicht. Ein weiterer grundlegender Unterschied ist das gesprochene Protokoll. Es handelt sich um das Protokoll CCS (Combined Charging System), welches in der ISO 15118 festgehalten ist. Dieses Protokoll ist digital und bietet sehr viele Möglichkeiten. Neben dem Austausch von Ladeinformationen wie Ladestand, Dauer und Akkugröße und möglichen Ladegeschwindigkeiten spezifiziert das Protokoll auch Bezahloptionen und das Ausrollen von Zertifikaten für die Authentifizierung. Das Protokoll wurde bereits in einer dritten Version veröffentlicht und wird kontinuierlich weiterentwickelt. Wer eine gewisse Praxiserfahrung mit Ladestationen hat, der weiß, dass die Umsetzung zum aktuellen Zeitpunkt noch nicht sehr weit vorangeschritten ist. Man könnte meinen, Stromanschlüsse, Kommunikationsprotokolle und Bezahlsysteme seien Neuland. Bis dato haben sich einige Anbieter herauskristallisiert, die eine zuverlässige Ladeinfrastruktur bieten und einige, die sich damit schwertun. Die Lernkurve bei diesem Thema ist theoretisch sehr steil, aber in verschiedenen Unternehmen unterschiedlich stark ausgeprägt. Es ist daher nicht ausgeschlossen, wenn nicht sogar sehr wahrscheinlich, dass die Sicherheit der Ladeinfrastruktur gegenüber Hackerangriffen von Anbieter zu Anbieter sehr unterschiedlich sein wird. Um sich davor zu schützen, dass eine von Hackern übernommene Ladestation den Akku eines Elektroautos durch zu schnelles Laden zerstören oder sogar in Brand stecken kann, ist es unverzichtbar, das Auto eigenverantwortlich mit Sicherungen und Wärmeerkennung auszustatten. So können derartige Gefahren frühzeitig erkannt und die Verbindung sofort beendet werden. Es ist unumgehbar, die Systeme so zu entwickeln, dass sie nicht angreifbar sind, selbst wenn die gegenüberliegende Komponente bösartig agiert.

Feindlicher Angriff: Bezahlsystem von Ladestationen

In Frankreich und Skandinavien wird so gut wie alles mit Kreditkarte bezahlt, in Asien mit dem Smartphone per QR-Code. Und in Deutschland? Die bremsende Skepsis gegenüber neuen Technologien und ihr zögerlicher Einsatz haben dazu geführt, dass es bis heute in Deutschland kein digitales Bezahlsystem gibt, das so weit verbreitet ist, dass damit ein Großteil aller Nutzer abgedeckt wäre. Am liebsten bezahlen die Deutschen bar. Somit ist es in Deutschland alternativlos, allein für die Ladeinfrastruktur ein eigenes Bezahlsystem aufzubauen, um keine Benutzer auszuschließen. Im Fall der Ladeinfrastruktur sind dies gegenwärtig RFID-Karten und Apps. Der Umstand, dass Ladesäulenbetreiber, Ladesäulenhersteller, Bezahlsystembetreiber und Autohersteller − mit Ausnahme von Tesla − jeweils aus unterschiedlichen Unternehmen kommen, macht es hinreichend kompliziert und überdies sehr kostspielig, ein sicheres Bezahlsystem zu schaffen.

So leicht sollte man es Kriminellen nun wirklich nicht machen!

Zum aktuellen Zeitpunkt bedeutet das, dass die Authentifizierung an einer Ladesäule ausschließlich über die Seriennummer einer RFID-Karte stattfindet. Dies ist in etwa so sicher, wie wenn man im Supermarkt mit dem Nennen von Vor- und Nachname bezahlen würde. Genauso wie einem die Vor- und Nachnamen der Nachbarn bekannt sind, sind auch die vorherigen und folgenden Seriennummern der eigenen Karte bekannt und man kann relativ leicht auf Kosten eines anderen bezahlen. Man liest hierfür einfach die Seriennummer der eigenen Ladekarte mit einem Lesegerät aus, zählt diese ein paar Stellen nach unten und schreibt sie auf einen Kartenrohling. Die Investition in die benötigte Hardware von ca. 50 € macht sich nach etwa 166 gestohlenen Kilowattstunden schon bezahlt. So leicht sollte man es Kriminellen nun wirklich nicht machen!

Eine neues Bezahlsystem, das mit dem CCS-Ladesystem möglich ist, ist das sogenannte "Plug & Charge" nach ISO 15118. Durch das "Vehicle to grid communication interface" kann sich ein Auto direkt mit dem Ladepunkt verständigen und sich beispielsweise anmelden. Sicherheitsprotokolle sollen dabei dafür sorgen, dass Mitlesen, Manipulieren und Identitätsdiebstahl ausgeschlossen sind. Der Autohersteller und Ladeinfrastrukturbetreiber Tesla benutzt seit mehreren Jahren ein eigenes proprietäres Protokoll für diese Technik. Daimler hat laut Medienberichten Pilotprojekte mit ISO 15118 erfolgreich abgeschlossen. BMW widmet sich diesem Thema und Volkswagen wird bei seinem ersten Serienfahrzeug auf der neuen Plattform, dem Modularen Elektrifizierungsbaukasten (MEB), sicherlich auch daran arbeiten. Derzeit ist das Karten- und App-lose Bezahlen in der Breite noch Zukunftsmusik.

Ein Ladesäulenbetreiber, bei dem laut Fahrern von Elektroautos "Plug & Charge" funktionieren soll, ist FastNed. In der Beschreibung des Betreibers ist von einer eindeutigen Nummer die Rede, die "schwer zu kopieren" sei. Dies spricht sehr stark dafür, dass hier keine vollständige Implementierung der Authentifizierung per Zertifikat durchgeführt worden ist, sondern das Fahrzeug beispielsweise über eine Nummer wie die MAC-Adresse erkannt wird. Für eine Authentifizierung per MAC-Adresse spricht auch, dass das Auto für die Aktivierung der Funktion zeitgleich an der Ladestation angeschlossen werden muss. Diese Art der Authentifizierung funktioniert; sicher ist sie aber nicht. MAC-Adressen und Seriennummern lassen sich abändern. Das für die sichere Verwendung von "Plug & Charge" erstellte Protokoll ist komplex und entsprechend kann bei der Implementierung an vielen Stellen sehr vieles richtig und sehr vieles falsch gemacht werden. Um ein sicheres Verfahren für das kartenlose Laden zu benutzen, ist beispielsweise die Authentifizierung per Zertifikat vorgesehen und nicht mit einer eindeutigen Nummer, die sich angeblich nur schwer erraten und ändern lässt. Diese Thematik ist seit vielen Jahren bzgl. der Absicherung von Firmennetzwerken präsent. Wiederholen sich hier bekannte Fehler? Wie sich die Sicherheit der Ladeinfrastruktur entwickeln wird, ist also mit Spannung zu erwarten. Heute bleibt dem Besitzer eines Elektroautos nichts anderes übrig, als ein Mäppchen voller unsicherer Plastikkarten mit sich herumzufahren.

Sicherheit durch Sicherheitstests

Unabhängig davon, ob es um Angriffe auf die Bezahlsysteme, die Ladesysteme oder autonomes Fahren geht: Bei all diesen Systemen ist es unerlässlich, durch Sicherheitstests die Reaktionen der Systeme auf böswillige Angriffe zu überprüfen. Simulierte Hackerangriffe unter Laborbedienungen bieten die Möglichkeit, eventuelle Schwachstellen an den Systemen aufzudecken, die ein böswilliger Angreifer mit genügend Zeitaufwand auch ohne Laborbedingungen finden und ausnutzen könnte. Dies gilt sowohl für das Gesamtsystem als auch für die Einzelkomponenten. So sollte beispielsweise für alle Bausteine in einem Auto sichergestellt werden können, dass diese nur Softwareaktualisierungen durch firmeneigene Software erlauben. Das Aufspielen von Fremdsoftware und somit beispielsweise von Schadcode auf die Lenkungsansteuerung und auf die Batteriewärmesensoren muss bestmöglich verhindert werden.

Da das Bewusstsein für die Wichtigkeit solcher Maßnahmen glücklicherweise steigt, wird die Sensibilität für das Thema vermutlich zunehmen. Eine sinnvolle Folgerung daraus ist, dass auch Autokomponenten von IT-Sicherheitsdienstleistern geprüft und sicherer gemacht werden sollten, so wie dies in den letzten Jahren bei klassischen Software-Anwendungen der Fall ist.

Autor

Thomas Krauß

Thomas Krauß, Informatiker, arbeitet als Penetrationstester und IT-Sicherheitsberater. Seine Schwerpunkte liegen auf mobilen Anwendungen, Webanwendungen, VoIP-Geräten und Gebäudesicherheit.
>> Weiterlesen
Das könnte Sie auch interessieren
Kommentare (0)

Neuen Kommentar schreiben