Solche Cracks könnten es Hackern möglicherweise ermöglichen, auf Fahrzeugdaten oder Kreditkarteninformationen von Verbrauchern zuzugreifen, sagt Ken Munro, Mitbegründer von Pen Test Partners. Die vielleicht besorgniserregendste Schwäche für ihn war jedoch, dass sein Team wie bei den Concordia-Tests herausfand, dass viele der Geräte es Hackern ermöglichten, den Ladevorgang nach Belieben zu stoppen oder zu starten. Das könnte dazu führen, dass frustrierte Fahrer keine volle Batterie haben, wenn sie eine brauchen, aber es sind die kumulativen Auswirkungen, die wirklich verheerend sein könnten.
„Es geht nicht um Ihr Ladegerät, sondern um das Ladegerät aller gleichzeitig“, sagt er. Viele Privatanwender lassen ihre Autos an Ladegeräten angeschlossen, auch wenn sie keinen Strom beziehen. Sie könnten beispielsweise nach der Arbeit einstecken und das Aufladen des Fahrzeugs über Nacht planen, wenn die Preise niedriger sind. Wenn ein Hacker Tausende oder Millionen Ladegeräte gleichzeitig ein- oder ausschalten würde, könnte das ganze Stromnetze destabilisieren oder sogar lahmlegen.
„Wir haben versehentlich eine Waffe geschaffen, die Nationalstaaten gegen unser Stromnetz einsetzen können“, sagt Munro. Die Vereinigten Staaten haben einen Vorgeschmack darauf bekommen, wie ein solcher Angriff im Jahr 2021 aussehen könnte, als Hacker entführte die Colonial Pipeline und unterbrach die Benzinversorgung im ganzen Land. Der Angriff endete, nachdem das Unternehmen ein Lösegeld in Millionenhöhe gezahlt hatte.
Munros wichtigste Empfehlung an Verbraucher ist, ihre Heimladegeräte nicht an das Internet anzuschließen, was die Ausnutzung der meisten Schwachstellen verhindern dürfte. Der Großteil der Schutzmaßnahmen muss jedoch von den Herstellern kommen.
„Es liegt in der Verantwortung der Unternehmen, die diese Dienste anbieten, dafür zu sorgen, dass sie sicher sind“, sagt Jacob Hoffman-Andrews, leitender Techniker bei der Electronic Frontier Foundation, einer gemeinnützigen Organisation für digitale Rechte. „Bis zu einem gewissen Grad muss man dem Gerät vertrauen, an das man es anschließt.“
Electrify America lehnte eine Interviewanfrage ab. Bezüglich der von Malcolm und den Kilowatts dokumentierten Probleme schrieb Sprecher Octavio Navarro in einer E-Mail, dass die Vorfälle isoliert seien und die Lösungen schnell umgesetzt würden. In einer Erklärung sagte das Unternehmen: „Electrify America überwacht und verstärkt ständig Maßnahmen, um uns und unsere Kunden zu schützen, und konzentriert sich auf ein risikominderndes Stations- und Netzwerkdesign.“
Pen Test Partners schrieb in seinen Ergebnissen, dass die Unternehmen im Großen und Ganzen auf die Behebung der von ihnen identifizierten Schwachstellen reagierten, wobei ChargePoint und andere Lücken in weniger als 24 Stunden füllten (obwohl ein Unternehmen eine neue Lücke schuf, während es versuchte, die alte zu schließen). Project EV reagierte nicht auf Pen-Test-Partner, implementierte aber schließlich „starke Authentifizierung und Autorisierung“. Experten argumentieren jedoch, dass es für die Branche längst an der Zeit ist, über diesen einfachen Ansatz in Sachen Cybersicherheit hinauszugehen.
„Jeder weiß, dass dies ein Problem ist, und viele Menschen versuchen herauszufinden, wie sie es am besten lösen können“, sagt Johnson und fügt hinzu, dass er Fortschritte gesehen habe. Beispielsweise sind viele öffentliche Ladestationen auf sicherere Methoden der Datenübertragung umgerüstet. Aber was einen koordinierten Satz von Standards angeht, sagt er: „Es gibt da draußen nicht viel Regulierung.“
Es gibt einige Bewegungen, dies zu ändern. Das parteiübergreifende Infrastrukturgesetz 2021 Darin waren etwa 7,5 Milliarden US-Dollar enthalten das Ladenetz für Elektrofahrzeuge in den gesamten USA auszubauen, und die Biden-Regierung hat die Cybersicherheit zu einem Teil dieser Initiative gemacht. Im vergangenen Herbst versammelte das Weiße Haus Hersteller und politische Entscheidungsträger, um einen Weg zu besprechen, mit dem sichergestellt werden kann, dass die immer wichtiger werdende Ladehardware für Elektrofahrzeuge ordnungsgemäß geschützt wird.
„Unsere kritische Infrastruktur muss ein grundlegendes Maß an Sicherheit und Belastbarkeit erfüllen“, sagt Harry Krejsa, Chefstratege im Büro des National Cyber Director im Weißen Haus. Er argumentierte auch, dass es bei der Stärkung der Cybersicherheit von Elektrofahrzeugen sowohl um den Aufbau von Vertrauen als auch um die Risikominderung gehe. Sichere Systeme, sagt er, „geben uns das Vertrauen in unsere digitalen Grundlagen der nächsten Generation, um höhere Ziele zu erreichen, als wir es sonst hätten erreichen können.“