Sicherheitsanalyse öffentliche Ladeinfrastruktur für Elektromobilität
In seinem jüngsten Initiativprojekt hat das Nationale Testinstitut für Cybersicherheit NTC die Schweizer Ladeinfrastruktur für Elektromobilität einer umfassenden Sicherheitsanalyse unterzogen. Bei rund 30 Organisationen wurden schwerwiegende Sicherheitslücken festgestellt. Die Schwachstellen wurden den Herstellern gemeldet und von diesen geschlossen. Zudem wurden generelle Handlungsempfehlungen für die Branche abgeleitet.
Das Nationale Testinstitut für Cybersicherheit NTC nutzte die Chance, die rasant wachsende öffentliche Ladeinfrastruktur für Elektromobilität bereits im Aufbau einer Sicherheitsanalyse zu unterziehen. Aufgrund der treibenden Kraft innovativer Start-Ups wächst die Anzahl der öffentlichen Ladepunkte schnell. Die Cybersicherheit wird oft zugunsten der schnellen Markteinführung vernachlässigt, was einen nachhaltigen Aufbau und den stabilen Betrieb gefährdet.
Im Zeitraum von Mai bis August 2023 wurden über das Internet zugängliche Systeme von rund 50 verschiedenen Herstellern getestet, darunter sieben mobile Apps, die Firmware von elf Ladesäulen, und zentrale Backend-Applikationen von 23 Ladesäulenbetreibern. Die Ergebnisse der Tests verdeutlichen eine verbesserungswürdige Sicherheitslage im Bereich der öffentlichen Ladeinfrastruktur für Elektromobilität in der Schweiz.
Der Abschlussbericht fasst die Erkenntnisse zusammen und macht sie der Öffentlichkeit zugänglich. Der Bericht richtet sich insbesondere an die Hersteller und Betreiber von Ladeinfrastrukturen und präsentiert neben den Risiken fünf generelle Handlungsempfehlungen für die Branche.
Eines der auffälligsten Risiken ist die in der Branche weit verbreitete Verwendung einer veralteten und unsicheren Version des Kommunikationsprotokolls OCPP. Hersteller sollten nur die neueste Version des Protokolls verwenden, da diese um wichtige Sicherheitsmerkmale erweitert ist.
Zudem fehlten bei allen Unternehmen die vom NCSC empfohlenen Vulnerability Disclosure Policies, welche unter anderem die standardisierte Veröffentlichung der Kontaktdaten einer Schwachstellen-Meldestelle vorsehen. Sie würden die Meldung durch ethische Hacker erleichtern, da es in der Praxis sonst schwierig ist, die betroffenen Unternehmen zu kontaktieren, um Schwachstellen zu melden.
Das NTC hat rund 30 Hersteller und Betreiber über Verwundbarkeiten informiert. Die Tests und der Abschlussbericht stellen somit nur einen Teil der eigentlichen Arbeit dar, denn die Benachrichtigung und die Beratung der betroffenen Organisationen ist ein wichtiger, zeitaufwändiger und für die Öffentlichkeit nicht wahrnehmbarer Teil des gesamten Projektaufwands.
Das NTC verfolgt mit diesem Initiativprojekt das Ziel, in dieser frühen Ausbauphase der Ladeinfrastruktur auf mögliche Schwachstellen hinzuweisen, damit diese möglichst frühzeitig behoben werden können und eine robuste und leistungsfähige Ladeinfrastruktur für die Schweiz aufgebaut und betrieben werden kann.
Medienmitteilungen zum Download: