Giro-e und der aktuelle Ladesäulen-Hack

Chaos Computer Club hackt Ladesäulen„, so stand es am 28.12.17 plakativ in vielen Medien. Auslöser war ein Vortrag auf dem 34C3 Kongress von Mathias Dalheimer, der sich seit längerem mit den technischen Hintergründen von Ladestationen (Website) befasst.

In Kurzform sind sowohl die Ladekarten selbst als auch das Transportprotokoll OCPP hin zum technischen Backend und zur Abrechnung leicht zu manipulieren. Dies betrifft aus unserer Sicht aktuell tatsächlich so gut wie alle Ladesäulen-Betreiber, die eine Ladung über eine der üblichen Standard-Ladekarten oder RFID-Schlüsselanhänger ermöglichen.

Bei der Entwicklung von Giro-e haben wir diese technischen Probleme bereits früh erkannt.

Unser Weg setzt auf einen angemessenen Kompromiss aus Bestandsschutz der bisherigen Infrastruktur inklusive des Standard-OCPP-Protokolls bei gleichzeitigem Einsatz der hochwertigeren Bankkarte und der Vermeidung von relevanten Klartextinformationen. Um hier an wirklich allen Stellen einen bestmöglichen Schutz im heutigen Standard zu bieten, haben wir den Start unserer Prototyping-Phase auf den Februar 2018 verschoben und bauen aktuell zusätzliche Sicherheitsfunktionen ein.

 

Aktuelles Problem Pragmatische Giro-e Lösung
Die Ladekarte identifiziert sich mit einer auslesbaren und  zu kurzen statischen UID an der Ladesäule. Derartige Karten sind sehr leicht zu clonen oder zu simulieren. Das Raten der UIDs ist extrem simpel. Eine Bankkarte signalisiert zufällig wechselnde UID. Giro-e nutzt stattdessen ausschließlich Standard-Funktionalitäten der gesicherten Bankkarte. Das Clonen oder Simulieren ist erheblich aufwändiger. Das Raten einer IBAN ist komplexer.
Das OCPP-Protokoll überträgt alle Informationen als mitlesbaren Klartext. Die relevanten Informationen werden auf Grundlage von OCPP verschlüsselt übertragen. Der Grad der Verschlüsselung ist von der Leistungsfähigkeit der in der Säule eingebauten Komponenten abhängig.
Ladestationen lassen sich von Dritten einfach mit Standardwerkzeug in Sekunden aufschrauben und geben so Zugriff auf den USB-Port, um darüber Daten auszulesen. Dies betrifft tendenziell nur einfache Home-Charger-Gehäuse, die im öffentlichen Bereich üblicherweise nicht verwendet werden. Die von uns aktuell überwiegend eingesetzten Ladesäulen von EBG compleo sind mit einem Riegel und Schließzylinder vor physischem Zugriff geschützt.
Einige Ladestationen speichern die letzten Identifikationskennungen in Klartext in einer Logdatei. Die Identifikationskennung von Giro-e ist ein abstrakter Einmal-Wert, der nicht zur erneuten Legitimation eingesetzt werden kann.
Der bisher übliche Abrechnungsturnus von Ladevorgängen gegenüber den Nutzern beträgt einen Monat bis zu einem halben Jahr. Jeder Ladevorgang ist innerhalb von zwei Werktagen als Kontoumsatz sichtbar. Bei Giro-e freiwillig registrierte Nutzer haben sogar taggleich Zugriff auf die Buchungen zu Ihrer Bankkarte.
Bei Widersprüchen ist ein teilweise erheblicher Aufwand nötig, es gibt keinen standardisierten Rückmeldekanal. Einem Lastschrifteinzug kann einfach widersprochen werden. Diese Funktion ist bereits in vielen Online-Banking-Systemen auf Knopfdruck integriert.

 

In Zukunft werden wir uns weiterhin stark für die Einführung einer durchgängigen Verschlüsselung und Signierung quer durch alle beteiligten Systemkomponenten einsetzen. Da dies aber tatsächlich nur durch deutliche Einschnitte sowohl bei der Hardware als auch in den Kommunikationsprotokollen möglich ist, wird dieser Weg nach jetziger Einschätzung noch eine Weile benötigen.

Wer heute Giro-e einsetzt, gewinnt unmittelbar eine deutliche Verbesserung gegenüber den jetzigen Standard-Karten-Verfahren und partizipiert von einer aktiven zukünftigen Mitentwicklung in eine neue Systemarchitektur.