Chaos Communication Congress 2017 Computer, wir haben ein Problem!

Die Rakete des CCC landetet 2017 zum ersten Mal in Leipzig (hier nicht abgebildet).
Die Rakete des CCC landetet 2017 zum ersten Mal in Leipzig (hier nicht abgebildet).

Tu Wat! fordert der Chaos Computer Club auf seinem 34. Kongress. Denn auch 2017 deckte der CCC neue, bekannte und wirklich unnötige Sicherheitslücken auf.

»Dieses Jahr sind Elektro-Autos plötzlich sexy geworden. Die Neuzulassungszahlen haben sich im Vergleich zu 2016 fast verdoppelt. Gleichzeitig wachsen auch die Ladungsnetzwerke und die Ladenetzanbieter verzeichnen alle ein massives Wachstum. Es stellt sich natürlich die Frage wie dieses plötzliche Wachstum von statten geht. Ist es nachhaltig, gibt es Sicherheitslücken?«

Sehr wahrscheinlich gibt es die, wenn Michael Dalheimer, Mitarbeiter am Fraunhofer Institut für Techno- und Wirtschaftsmathematik (ITWM) und Betreiber des Blogs Gonium.net, einen Vortrag auf dem 34. Chaos Communication Congress zum Thema Ladeinfrastruktur für Elektroautos hält. Niemand hatte aber damit gerechnet, wie gravierend diese sind.

Chaos Communication Congress 2017

Zwischen Weihnachten und Silvester findet jedes Jahr der Chaos Communication Congress statt, 2017 zum 34. Mal (34C3). Vortragende aus der ganzen Welt führen einem ebenso internationalen Publikum vor, dass kein System sicher ist. Da der Kongress immer stärker besucht wird, wird er seit 2017 statt in Hamburg auf der Messe Leipzig organisiert.

Unter der 30 Meter hohen Glashalle des Westeingangs, befinden sich von Bäumen umgeben mehrere Essensstände, dazwischen Tische, Stühle und Bierbänke. Neben Pommes, Pizza und Crepes gibt es auch veganes und asiatisches Essen. Über Röhren mit der Glashalle verbunden, befinden sich weitere Hallen sowie das Congress Center Leipzig (CCL). In den Hallen eins bis vier liegen die Vortragsräume, Adams, Borg, Clarke und Dijkstra und, ja, das sind Referenzen an Sci-Fi-Legenden und berühmte Wissenschaftler.

Daneben gibt es Kunstausstellungen, Bastelecken, Informationsstände von Organisationen und Netzwerken die sich für Freiheit, Transparenz und Datenschutz einsetzen, Bars und viele Sitzgelegenheiten mit Steckdosen. Die Vortragssäle sind mit Stühlen und Tribünen ausgestattet. Zusätzlich zu der großen Leinwand hinter der Bühne hängen Screens von der Decke. Eine Kamera vor der Bühne überträgt die Vorträge auf alle Leinwände im Saal und Live ins Internet.

Nach den Vorträgen können Fragen gestellt werden, dafür stehen in den Gängen extra Mikrofone mit angebrachten Zahlen, so dass es dem Moderator leichter fällt die Fragesteller aufzurufen. Auch aus dem Internet werden Fragen vorgelesen. Digitalisierung kann so einfach sein.

Unsichere Ladeinfrastruktur

In den nächsten 50 Minuten nimmt Dalheimer den Ladevorgang auseinander und präsentiert eine Sicherheitslücke nach der anderen. Getestet werden die Anbieter NewMotions, Ladenetz, der mit den Stadtwerken Karlsruhe und weiteren kooperiert, BMW Charge Now, E-Wald und die Elektronauten.

Es beginnt mit den NFC-Ladekarten, Typ Mifare Classic, mit denen sich der Nutzer an der Ladesäule anmeldet. Einige im Publikum können darüber schon lachen, denn bereits vor zehn Jahren wurde auf dem 24C3 nachgewiesen, dass die Kryptoimplementierung auf diesem Kartentyp »komplett kaputt ist«.

Zur Anmeldung an der Ladesäule wird die Kartennummer verwendet, die weder verschlüsselt ist, noch für die Authentifizierung gedacht ist (Bild 03). Die Kartennummer ist dazu da, dass ein NFC-Kartenlesegerät zwischen den unterschiedlichen Kartentypen unterscheiden kann.

Damit zum Beispiel das Essen der Kantine nicht auf die E-Ladekarte gebucht wird. Darum kann die Kartennummer von jedem NFC-Gerät ausgelesen werden. Da über die Karten der Ladesäulenanbieter der Strombedarf direkt vom Konto abgerechnet wird, ist das in etwa so, als würde man seine Pinnummer auf die EC-Karte schreiben

»Ich habe auch eine Hypothese, dass man die Ladekartennummern erraten kann, da die Nummern von fünf aufeinanderfolgenden Karten sich nur in zwei Bytes unterscheiden, das habe ich aber noch nicht ausprobiert. Es gibt aber noch einfachere Wege an die Ladekartennummer zu kommen.«, erklärt Dalheimer.

Keine interne Verschlüsselung

Das größte Problem sieht Mathias Dalheimer in dem Managementprotokoll OCPP V 1.5 das die Kommunikation zwischen Ladesäule und dem Abrechnungsbackend organisiert (Bild 04). An einer kleineren Version der Witty Park-Ladesäule von Hager demonstriert er, wie eine Ladesäule innen aussieht und was bei einem Ladevorgang passiert.

Das beamergroße Gerät, das statt einer Linse eine Steckdose besitzt, läuft über ein ARM-basiertes Linux-system. Auf den ersten Blick sieht der Aufbau sehr gut aus, die einzelnen Komponenten sind ordentlich verbaut und bestehen auch die elektrische Sicherheitsprüfung,  der Hersteller kommt schließlich aus dem Installationsgerätebau.

Ungemütlich wird es im Backend, hier wird über http unverschlüsselt kommuniziert. Sobald man Zugriff auf das interne Netzwerk hat, kann die gesamte Kommunikation beobachtet werden. Auch lässt sich das System fernsteuern, denn die IP-Adressen der Ladesäulen findet man gesammelt im Internet.

»Meine Bitte: lasst die Dinger in Ruhe. Wenn ihr die außer Betrieb setzt kann jemand nicht nach Hause fahren«, wendet sich Dalheimer darum auch an das Publikum. Doch wie erhält man Zugriff auf das Netzwerk? Einfacher als gedacht.