LadenPunkt

«Ein Angriff setzt da an, wo der grösste Schaden entsteht»

Dass die Ladeinfrastruktur wächst, freut auch Hacker. Die Fachleute Raphael Reischuk (Cyber Security) und Daniel Clauss (digitale Transformation) sprechen mit Ladenetzwerk-Vertreter Sascha Krucker über Risiken im Netz und wie man sich davor schützt.

Teilen auf
image

Digital und vernetzt, bietet sich Ladeinfrastruktur für Cyberangriffe geradezu an. Ein einzelner Angriff kann ganze Systeme lahmlegen, die Netzstabilität gefährden und kritische Infrastrukturen ausser Gefecht setzen. Dass dies passiert, wird immer wahrscheinlicher: Die Anzahl Ladestationen hat sich seit 2020 verdreifacht und dürfte weiterwachsen. Damit steigt auch das Risiko für Ladestationsbetreiber (CPOs) – und die Bedeutung von Cyber Security.

Cyber Security für CPOs in fünf Schritten

Sichern Sie Ihre Ladeinfrastruktur. Heute lassen sich Ladestationen oft mit einfachen Vierkantschlüsseln öffnen. Hacker und Hackerinnen gelangen so leicht an die Schnittstellen der Elektronik und können sie manipulieren.

Vorbeugen ist besser als heilen. Investieren Sie in ein Wartungspaket für Ihre digitalen Systeme, laden Sie laufend Updates und installieren Sie die neuesten Protokolle. Überprüfen Sie die Anbindungen zu Herstellern und Backend-Anbietern sowie Ihr Lastmanagement-System.

Lassen Sie Ihre Infrastruktur von einer unabhängigen Testfirma auf Schwachstellen überprüfen. Veröffentlichen Sie eine Vulnerability Disclosure Policy. Damit signalisieren Sie ethischen Hackerinnen und Hackern, dass Sie bereit sind, Ihre Schwachstellen aufzudecken, ohne erstere zu verklagen.

Seien Sie auf Erpressungsversuche vorbereitet. Publizieren Sie auf Ihrer Website ein Statement: «Wir zahlen nicht». Denken Sie Szenarien durch und vereinbaren Sie vorsorglich einen Vertrag mit einem IT-Unternehmen zur Wiederherstellung von Daten.

Informieren Sie sich regelmässig über Best Practices des Marktes. Tauschen Sie sich mit anderen CPOs aus und nutzen Sie Schwarmwissen.

Gefahr erkannt, doch nicht gebannt

Dass die Schweizer Ladeinfrastruktur schwerwiegende Sicherheitslücken aufweist, hat 2023 eine Analyse des Nationalen Testinstituts für Cybersicherheit (NTC) gezeigt. Die Probleme sind zwar inzwischen behoben, die Gefahr eines Cyberangriffs jedoch nicht gebannt. Besonders gefährdet sind allgemein zugängliche Ladestationen, Zugangssysteme und Schnittstellen mit anderen Systemen. Wo die Risiken liegen und wie CPOs ihre Infrastruktur schützen können, diskutieren Sascha Krucker, Raphael Reischuk und Daniel Clauss im Interview.

Wieso ist die Ladeinfrastruktur Zielscheibe von Cyberangriffen?

Raphael Reischuk: Sie ist ein junges, stark vernetztes Ökosystem und enthält verschiedene Komponenten, auch aus dem Ausland. Damit bietet sie viele Angriffspunkte.

Daniel Clauss: Der Forschungs- und Entwicklungszyklus (F&E) für Hard- und Software ist kurz, das heisst, es kommen rasch viele neue Komponenten auf den Markt. In der Schweiz existieren zwar Grundnormen, welche die Anforderungen an die Komponenten definieren. Die Standards folgen den F&E-Zyklen jedoch in der Regel mit Verspätung.

Welche Teile sind besonders verletzlich?

Sascha Krucker: Besonders die allgemein zugänglichen Ladestationen sind betriebskritisch, exponiert und somit angreifbar. Aber auch die Kommunikationsverbindungen und deren Anbindungen an die Cloudplattformen sind gefährdet.

Reischuk: Ein Angriff setzt da an, wo der grösste Schaden entsteht und der Aufwand gering ist. Es gibt die analytischen und die opportunistischen Hackerinnen und Hacker. Erstere wählen ihre Ziele systematisch aus und analysieren diese im Detail, bevor sie gezielt und methodisch angreifen. Letztere schiessen mit der Schrotflinte auf jegliche Zugangspunkte. Das können Ladekarten sein oder digitale Schnittstellen (API). Diese lassen sich gut aus der Ferne angreifen.

Clauss: Auch das Backend ist verletzlich, denn dort laufen alle Datenströme zusammen. Kriminelle recherchieren, welche Firmen fürs Backend einer Ladesoftware zuständig sind, und dringen dort in den Server ein.

Gefährden Angriffe auch Partner von Ladestationsbetreibern?

Reischuk: Man könnte Zulieferer attackieren durch zeitgleiche Angriffe: zum Beispiel alle Ladezyklen ein- und ausschalten. Das gibt Schwingungen im Netz und könnte es zum Kollabieren bringen. Es genügt, 8-10% der ladenden Fahrzeuge auf diese Weise zu kontrollieren.

Krucker: Die Ladeinfrastruktur ist Teil eines vernetzten Ökosystems, in dem viele Akteure beteiligt sind – darunter Betreiber, Hersteller, Dienstleister, Energieversorger, IT-Dienstleister und Zahlungsanbieter. Ein Angriff auf einen Teil dieser Kette kann Auswirkungen auf andere haben.

Warum ist die Ladeinfrastruktur interessant für Cyberkriminelle

Reischuk: Manchen Angreifern geht es darum, den Westen zu destabilisieren. Die Schweiz ist ein attraktiveres Ziel als weniger entwickelte Länder, denn sie steht für glaubwürdige, funktionierende demokratische Prozesse. Ziele der Angreifer könnten neben Rufschädigung und gesellschaftlicher Einflussnahme auch finanziell motivierte Erpressung oder physischer Schaden sein.

image
Die Ladeinfrastruktur wird immer mehr zur kritischen Infrastruktur.
Sascha Krucker, CTO von Swisscharge

Was sind die Hauptgefahren?

Clauss: Gefährlich für die Netzstabilität ist die Wechselwirkung mit Fahrzeugen – direkt oder via Ladesäulen. Die Hersteller haben in der Regel Fernzugriff.

Reischuk: Die Netzstabilität ist nicht das grosse Thema, sondern die Verfügbarkeit der Infrastruktur. Kritische Infrastrukturen, wie z. B. Blaulichtorganisationen, müssen jederzeit genügend Strom haben.

Krucker: Die Ladeinfrastruktur wird immer mehr zur kritischen Infrastruktur. Blaulichtorganisationen wechseln auf E-Fahrzeuge. Die können sich keinen Blackout leisten. Je mehr die E-Mobilität Richtung Massenmarkt geht, desto gefährlicher wird es.

Gibt es Gefahren, die ausschliesslich CPOs betreffen?

Krucker: Kleinkriminelle können sich Zugang zur Infrastruktur verschaffen und so gratis laden. Ein Einzelfall mag zu verkraften sein, aber in der Summe tut es weh. Manche Kriminelle schliessen sich zusammen. Eine Uber-Gemeinschaft im Ausland beispielsweise nutzte Schwachstellen in diversen europäischen Systemen. Der finanzielle und der Reputationsschaden waren gross.

image
Der IKT-Minimalstandard ist ein guter Anfang, reicht jedoch nicht.
Daniel Clauss, Leiter Energie bei Zühlke

Haften CPOs für Schäden wie etwa einen Blackout?

Clauss: Das ist eine komplexe Frage. Netzbetreiber müssten einem CPO direkt Fahrlässigkeit nachweisen können. Das ist in der Vergangenheit zwar noch nie möglich gewesen. Dennoch besteht ein Haftungsrisiko. Darum ist es für CPOs wichtig, alle bekannten technischen und organisatorischen Vorkehrungen zu treffen.

Wer trägt die Verantwortung für Cyberschäden?

Reischuk: Dies hängt stark vom Kontext, den rechtlichen Rahmenbedingungen und den vertraglichen Vereinbarungen ab. Unternehmen müssen sich um ihr Risikomanagement kümmern. Dazu zählen auch Cyberrisiken. Der Staat setzt durch Gesetze und Auflagen Rahmenbedingungen, trägt jedoch nicht die operative Verantwortung für einzelne Cyberschäden in der Privatwirtschaft.

Clauss: Der IKT-Minimalstandard* ist ein guter Anfang, reicht jedoch nicht. Kleinere KMU sind mit dem Thema überfordert Und ein ausländisches Unternehmen kümmert der Standard wenig. Darum muss der Staat Leitplanken setzen.

Krucker: Gute staatliche Rahmenbedingungen helfen, aber ich sehe auch jeden Infrastrukturbetreiber in der Verantwortung, seine Anlagen auf Schwachstellen zu prüfen und die Industriestandards anzuwenden.

image
Unternehmen müssen sich um ihr Risikomanagement kümmern. Dazu zählen auch Cyberrisiken.
Raphael Reischuk, Partner und Leiter Cyber Security bei Zühlke

Warum lohnt es sich für CPOs, in Cyber Security zu investieren?

Reischuk: Mit Cyberschutz fahren CPOs viel günstiger als ohne. Das betrifft einerseits den finanziellen Schaden, den Cyberkriminelle verursachen, zum Beispiel durch Erpressung. Darauf sind die meisten nicht vorbereitet. Eine Umfrage zeigte, dass innert 6 Monaten 83% der befragten Unternehmen Opfer von Ransomware wurden. 5% waren bereit, hohe Summen zu bezahlen. Das befeuert die kriminelle Aktivität. Es ist daher wichtig, einen Plan und eine Verhandlungstaktik zu haben. Dafür gibt es erfahrene Spezialistinnen und Spezialisten. Andrerseits geht es auch um die Kosten für das Wiederherstellen geschädigter Infrastruktur. Schliessen CPOs mit einem IT-Unternehmen vorsorglich einen Vertrag ab, kostet dies weit weniger als eine Verhandlung in einer Notfallintervention.

Clauss: Cyberangriffe können auch einen Reputationsschaden hinterlassen. Und mit einem schlechten Ruf ist man schnell weg vom Markt.

Kann man Cyberschäden versichern?

Reischuk: Grundsätzlich ja, aber Prävention ist besser. Geklaute Daten oder eine geschädigte Reputation stellt auch die beste Versicherung nicht wieder her.

Die Dialogpartner

Raphael Reischuk

Leiter Cyber Security beim Innovationsdienstleister Zühlke, Gründungsmitglied des Nationalen Testinstituts für Cybersicherheit NTC und passionierter E-Automobilist.

raphael.reischuk@zuehlke.com

Daniel Clauss

Leiter Energie bei Zühlke und spezialisiert auf die digitale Transformation in der Energiewelt.

daniel.clauss@zuhlke.com

Sascha Krucker

Chief Technology Officer (CTO) bei Swisscharge. Das Unternehmen bietet Ladelösungen an und betreibt das grösste Ladenetz der Schweiz. Cyber Security spielt im Portfolio eine wichtige Rolle.

sascha.krucker@swisscharge.ch

Bildquelle: Claudio Fornito, EBP

LadenPunkt
Sprachen
Social
bundesbanner de
EnergieSchweiz