IT-Sicherheit für Wallboxen: Mehr Schutz gegen Hacker
Cyberangriffe –
Private Ladesäulen für E-Autos müssen künftig besser geschützt werden.
Die EU hat in der Funkanlagenrichtlinie (RED) neue Anforderungen an die Cybersicherheit aufgenommen. Das ist auch die Grundlage für einen besseren Schutz von Wallboxen. »Ladegeräte für E-Autos werden für Cyberkriminelle immer attraktiver«, sagt Alexander Bourgett, der Forschung und Entwicklung bei der »eSystems MTG« verantwortet. So habe etwa der Computerwurm Mirai gezielt nach Sicherheitslücken in vernetzen Haushaltsgeräten gesucht, um mit Botnetzen Webseiten stillzulegen, Passwörter zu stehlen und Unternehmen zu erpressen. »Je größer die Zahl an Wallboxen, desto interessanter werden sie für solche Angreifer.« Doch das ist nicht die einzige Bedrohung: »Wallboxen-Hersteller werden zur Zielscheibe, wenn Hacker drohen, Userdaten zu stehlen oder Bezahlsysteme zu manipulieren. « Hacker können sogar ganze Stromnetze lahmlegen, wenn Angreifer den Ladevorgang sabotieren. Kompromittierte Wallboxen seien also eine reale Gefahr für Anbieter, Verbraucher und für Kritische Infrastrukturen.
Und: Die meisten Geräte sind trotzdem schlechter geschützt als ein Haushalts-Laptop, weil herkömmliche Wallboxen oftmals veraltete Software-Versionen nutzen. Eine sichere Software zu bauen und diese langfristig abzusichern, ist jedoch teuer. Für den IoT-Massenmarkt – zu dem auch Wallboxen zählen – werden diese Investitionen häufig nicht getätigt. »IoT-Geräte haben zudem ein möglichst schlankes Betriebssystem, das nur die Kernaufgaben erfüllt. Auf Sicherheitsfunktionen, wie Authentifizierung und Kryptografie, wird bewusst verzichtet – eine regelrechte Einladung für Hacker«, ist Bourgetts Erfahrung.
Funkanlagenrichtlinie verspricht mehr Sicherheit
Mit den neuen Maßnahmen der RED soll nun die Privatsphäre der Verbraucher besser geschützt werden und das Risiko von Geldbetrug sinken. Drahtlose Geräte müssen daher künftig eine bessere Authentifizierungskontrolle des Nutzers gewährleisten. Die neue Richtlinie muss ab August 2025 umgesetzt werden.
Für die Hersteller von Wallboxen ist das eine besondere Herausforderung. Viele haben sich bisher nur wenig mit dem Thema IT-Security beschäftigt. Jetzt benötigen sie dafür Zeit, Manpower und Know-how. Ressourcen, die den meisten Unternehmen fehlen.
Welche Schutzmaßnahmen muss eine Wallbox erfüllen?
»Eine der wichtigsten Schutzmaßnahmen, die eine Wallbox haben sollte, ist das Identitätsmanagement «, sagt Bourgett, der bei »eSystems« eine Whitelabel-Wallbox namens »ghostONE« mitentwickelt hat.
»Eine der wichtigsten Schutzmaßnahmen, die eine Wallbox haben sollte, ist das Identitätsmanagement «, sagt Bourgett, der bei »eSystems« eine Whitelabel-Wallbox namens »ghostONE« mitentwickelt hat.
Laut Bourgett soll eine Wallbox während der Produktion mit einem kryptografischen Zertifikat eine eindeutige Identität erhalten, die durch eine Zwei-Faktor-Authentifizierung geschützt wird. Identity- Management und Signatur-Services sind aktuell jedoch enorm teure Dienstleistungen. »Der Hersteller benötigt zudem Knowhow, um das Backend für diese IM-Standards einzurichten und die Identitätsnachweise sicher abzulegen. Updates sind der andere essenzielle Schutz. Auch das ist aufwendig und kostspielig. Denn die Architektur muss noch lange Zeit nach End-of- Production updatefähig bleiben.«
Bei der eigenen Wallbox »ghostONE« setze man auf hardwarebasierte Security. Geheime Schlüssel werden in dieser Wallbox zum Beispiel nicht im Hauptspeicher abgelegt, sondern in einem abgetrennten Security-Speicher. Ein solches System ist weniger leicht manipulierbar. Für den Zufallszahlengenerator der Wallbox nutze man keine mathematisch erzeugten Zufallszahlen, die sich leicht erraten lassen – sondern echte hardwarebasierte Zufallszahlen.
Deutlich mehr Sicherheit verschaff e auch ein sogenanntes Secure Boot, bei dem das Betriebssystem auf Manipulation hin überprüft wird. Außerdem werden die Programmdaten der Wallbox signiert und der Datenspeicher ist schreibgeschützt. »Selbst wenn Hacker in das System gelangen, können sie den Datenspeicher nicht manipulieren, ohne dass danach der Systemstart verhindert wird«, führt Bourgett aus.
Bei den zentralen Elementen der Security- Software setzt man auf Open-Source. Diese würde innerhalb der Entwickler-Community besser gepflegt und Schwachstellen schneller erkannt. »So können wir zeitnah gefundene Schwachstellen beheben«, betont Bourgett. Jede Wallbox erhalte während der Produktion außerdem eine eindeutige Identität in Form eines Zertifikats einprogrammiert. Mit dieser Architektur habe man ein hohes Schutzniveau geschaffen. »Die wichtigsten Angriffsszenarien aus der Ferne lassen sich damit vermeiden«, ist Bourgett sicher.
Den gesamten Artikel finden Sie in der ZEITUNG FÜR KOMMUNALE WIRTSCHAFT (AUSGABE 6 | JUNI 2024).
WIR SIND FÜR SIE DA