Wenn die Ladesäule zur Firewall wird

Vernetzte E-Autos erzeugen Datenströme, kommunizieren permanent mit Backends und erhalten via OTA-Updates neue Software. Kurzum: Die Anforderungen an die Cybersecurity wachsen enorm.  Auch, was einen noch wenig betrachteten Aspekt angeht, der zugleich neue Chancen bietet: die Ladestationen. Sie könnten künftig mehr sein als einfache Stromlieferanten und zu Knotenpunkten eines verteilten Vehicle Security Operations Centers (VSOC).

Die Ladesäule als Wächter

Warum ausgerechnet Ladesäulen? Weil es naheliegt. Rainer Ehrentraut, Product Field Manager von ETAS, einer Tochterfirma von Bosch, die Software-Plattformen für Fahrzeuge entwickelt, skizziert folgendes Szenario: „Ein Angreifer versucht, über eine manipulierte Kommunikationsnachricht, etwa eine gefälschte Firmware-Update-Anfrage, direkt an der Ladesäule Schadsoftware in das Steuergerät eines angeschlossenen Elektrofahrzeugs einzuschleusen.“

Was scheitern würde, wenn die Ladestation als SOAR-Knoten (Security Orchestration, Automation and Response) in eine Security-Architektur eingebunden ist: Dank kontinuierlicher Überwachung erkennt die Ladestation eine ungewöhnliche Kommunikationssequenz und meldet dies automatisch an das zentrale Vehicle Security Operations Center (VSOC), schildert der Experte: Die verdächtige Verbindung wird sofort isoliert, die Datenübertragung unterbrochen und das Fahrzeug sowie der Betreiber informiert. „So wird ein potenzieller Angriff frühzeitig gestoppt, bevor Schaden entsteht – und das direkt am ‚Edge‘, noch bevor die Attacke ins Backend oder ins Fahrzeug gelangen kann“, erklärt Ehrentraut.

Wie die Blockchain für mehr Cyber-Resilienz sorgt

Wenngleich es ruhig um sie geworden ist, bieten Blockchain-Technologien in der Autoindustrie weiter ein erhebliches Potenzial – vor allem wenn es um Cybersecurity in kommenden Generationen vernetzter Fahrzeuge geht.

Wenn Ladepunkte als SOAR-Knoten agieren, endet ein Cyberangriff nicht im Fahrzeug oder Backend, sondern direkt an der Steckdose. Fluch und Segen zugleich: Denn Ladepunkte sind eben auch potenzielle Angriffspunkte. An Bedrohungen mangelt es nicht: Fehlende oder schwache Authentisierung zwischen Ladestation, Fahrzeug und Backend, unzureichend oder schwach geschützte Kommunikationsschnittstellen sowie Prozesse in der V2G-Infrastruktur durch proprietäre Lösungen, unsichere OTA-Prozesse, mangelnde physische Sicherheit der Hardware-Komponenten oder „Quishing“, um an Bezahldaten von Nutzern zu gelangen, zählt Ehrentraut auf: „Diese Schwachstellen werden zunehmend relevant, da mit der Vernetzung von Ladeinfrastruktur auch deren Angriffsfläche wächst.“

Das Risiko eines kompromittierten Chargers als Sprungbrett für verschiedene Angriffe sei nicht zu unterschätzen. Etwa, so Ehrentraut, die Manipulation von Fahrzeugfunktionen durch gezielte Nachrichten während des Ladevorgangs, wie Unlock-Befehle. „Denkbar ist auch, dass sich Angreifer Zugang zum Backend/Charge Point Management System verschaffen, was Auswirkungen auf das gesamte Ladenetzwerkhaben kann“, so Ehrentraut. Nicht zuletzt könnten Botnet-Knoten für koordinierte Angriffe auf Energieversorger oder andere kritische Infrastruktur missbraucht werden. Kurzum: „Je nach Architektur und Sicherheitsniveau kann ein einzelner kompromittierter Charger erhebliche Folgen für Flotten, Betreiber und sogar das Stromnetz haben“, unterstreicht Ehrentraut.

Risiken und Nebenwirkungen

Großes Risiko, aber gute Chancen, diese im Keim zu ersticken. Denn Ladestationen sehen Angriffe dort, wo Fahrzeuge blind sind: am Netzwerkrand, zwischen Fahrzeug, Nutzer und Backend. Als dezentrale Security-Knoten können Ladesäulen nicht nur melden, sondern auch handeln – etwa durch Quarantäne, Policy-Durchsetzung und sichere Authentisierung. Das ist der Ansatz von Versorgern und Forschenden. Forschungsvorhaben wie EVSOAR beschreiben ein Konzept, bei dem die Ladesäule künftig als Sensor, Firewall und Mitigation Node im Gesamtsystem agiert. Konkret, so die Forschenden, könnte eine Station kontinuierlich Telemetriedaten des Fahrzeugs während des Ladevorgangs auslesen, auffällige Muster wie Manipulationsversuche, Malwarekommunikation oder abnorme Fahrzeugdaten erkennen und direkte Gegenmaßnahmen einleiten – von der Unterbrechung des Ladevorgangs bis zur Quarantäne des Fahrzeugs.

Welche Autobauer setzen auf bidirektionales Laden?

Um das Elektroauto auch als Stromspeicher für Zuhause oder das öffentliche Netz nutzen zu können, setzen immer mehr OEMs aufs bidirektionale Laden. Wir zeigen, welcher Hersteller was anbietet und welche Chancen sich dadurch ergeben.

Timo Gilgen

Schließlich sollen sicherheitsrelevante Ereignisse in ein zentrales VSOC eingespeist werden. Damit würden Ladestationen zu verteilten Security-Einheiten, die Fahrzeugflotten in Echtzeit schützen. „Durch diese Kombination entsteht ein mehrschichtiges Sicherheitsnetzwerk, das sowohl schnelle lokale Reaktionen als auch zentrale Überwachung ermöglicht“, sagt Ehrentraut, „Das EVSOAR/VSOC-Konzept verlagert Security-Orchestrierung und automatisierte Reaktion teilweise auf Edge-Geräte wie Ladestationen.“ Darin liegt für ihn die Zukunft. Die Ladesäule würde damit zu einer Art „Security Edge Node“, der nicht nur Energie liefert, sondern als lokaler Wächter im Fahrzeugnetzwerk agiert. In Kombination mit den im Fahrzeug integrierten Intrusion-Detection-Systemen entstünde ein mehrstufiger Abwehrverbund, der sowohl lokal im Auto, dezentral an der Ladesäule als auch zentral in der Cloud ansetzt.

Vorteil dieser Architektur: Fahrzeuge müssen nicht alle sicherheitsrelevanten Analysen selbst durchführen. Ladestationen können aufgrund ihrer stationären Einbindung leistungsfähigere Analysen durchführen, Bedrohungen mit anderen Ladeevents korrelieren und so Muster erkennen, die einem einzelnen Fahrzeug verborgen bleiben. Was heute in lokalen ECUs mühsam an Daten gesammelt wird, ließe sich morgen über tausende Ladestationen hinweg aggregieren und intelligent auswerten. Die Vision ist ein globales Sicherheitsnetz, das Elektromobilität nicht nur antreibt, sondern aktiv schützt.

Offene Fragen bei einer Vielzahl an Akteuren

Branchenkenner sehen allerdings ein Geflecht offener Verantwortlichkeiten und Fragen. So müssen OEMs entscheiden, welche Diagnosedaten ein Ladepunkt überhaupt auslesen darf und welche Gegenmaßnahmen zulässig sind. Charge-Point-Operators wiederum stehen vor der Frage, ob sie künftig nicht mehr nur Energie, sondern auch Security-Dienstleistungen anbieten wollen und können. Mobility-Services-Provider sollten Sicherheitsbewertungen in ihr Portfolio aufnehmen, während Energieversorger sicherstellen müssen, dass sicherheitsbedingte Eingriffe keinesfalls die Netzstabilität gefährden. Und schließlich müssen Regulierer Datenschutz, Cybersecurity und Energiewirtschaft harmonisieren, damit diese bislang getrennten Welten strukturiert zusammenwachsen können.

„In einigen Bereichen wird die Bundesnetzagentur zukünftig auch Cybersicherheitsanforderungen gegenüber Herstellern und Betreibern von Ladesäulen aufstellen, und deren Umsetzung begleiten“, lässt eine Sprecherin der Bundesbehörde wissen, „Dies gilt immer dann, wenn die Betreiber als digitaler Energiedienstleister auftreten, und somit eine kritische Menge an Ladesäulen faktisch steuern können.“

Der neue Weg heißt Security by Design

Zwar sind regelmäßige Over-the-Air-Updates für softwaredefinierte Fahrzeuge Pflicht, um Sicherheitslücken zu schließen. Doch das allein reicht nicht aus. Das Thema Security muss größer gedacht werden.

Ehrentraut, der die Chancen von Ladepunkten als, wie er sagt, „präventive und reaktive Security-Knoten“ sieht, durch die sich die Gesamtsicherheit im Ökosystem Elektromobilität durch Kollaboration zwischen Infrastruktur und Fahrzeug deutlich verbessern ließe, benennt Hürden auf dem Weg dahin: „Unterschiedliche Herstellerstandards erschweren eine einheitliche Umsetzung.“ Hinzu komme, dass Betreiber der Ladeinfrastruktur in weiten Teilen OEM-unabhängig seien, was ein Knowhow-Transfer in beide Richtungen kompliziert mache.

Nicht zu unterschätzen seien die hohen Anforderungen an sichere Hardware, Softwarepflege und Updateprozesse in der Fläche wie auch jene an Datenschutz und Compliance bei der Verarbeitung sicherheitsrelevanter Events. Nicht zuletzt: „Wer trägt die Kosten für ‚Security by Design‘?“, fragt der Experte. Sein Fazit: „Wir von ETAS sehen ein großes Potenzial darin, dass Ladepunkte künftig nicht nur Energie liefern, sondern auch aktive Rollen in der Cybersecurity übernehmen – sowohl präventiv als auch reaktiv.“ Voraussetzung seien jedoch offene Standards, enge Kooperation aller Akteure sowie ein klarer regulatorischer Rahmen.