Wer an öffentlichen Ladepunkten lädt, startet automatisch eine digitale Kommunikation: Auto, Ladesäule, Betreiber-Backend und teils weitere Systeme tauschen Daten aus. Genau diese Kette kann Angreifer an mehreren Stellen ansetzen lassen – von der Säule selbst über die Systeme des Betreibers bis hin zu Netz-Steuerungen oder dem angeschlossenen Fahrzeug. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die IT-Sicherheit öffentlich zugänglicher Ladenetze deshalb untersucht.
Standards helfen – aber die Praxis lässt Lücken
Das BSI sieht zentrale Normen wie UNECE R 155 in vielen Punkten auf dem Stand der Technik. Trotzdem warnt die Behörde vor einem trügerischen Sicherheitsgefühl: In der Umsetzung bleiben Schutzmechanismen oft optional oder landen nur teilweise im Feld.
Als Beispiel nennt das BSI das verbreitete Open Charge Point Protocol (OCPP): Uneinheitliche Implementierungen und Schwächen rund um Authentifizierung und Sitzungsverwaltung können Angriffe erleichtern. In der Praxis setzen Betreiber Sicherheitsmaßnahmen wie Transportverschlüsselung, Sperrlisten oder moderne Kryptografie laut Bericht häufig nur eingeschränkt um – auch, weil sie alte Systeme weiter unterstützen wollen. Den ausführlichen Hintergrund liefert heise online.
Betreiber-Systeme und Zertifikate: Ein Treffer kann weit reichen
Das BSI sieht "deutliche Schwachstellen" in Systemen von Ladestationsbetreibern. Besonders kritisch bewertet die Behörde das zentrale Zertifikats- und Vertrauensmodell, das Identitäten und sichere Kommunikation im Ladesystem absichern soll. Greift jemand einzelne Vertrauensanker an oder kompromittiert sie, kann das Folgen für große Teile der Ladeinfrastruktur haben – inklusive der Vertrauenswürdigkeit der gesamten Kette.
Was ist das BSI?Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die zentrale Cyber-Sicherheitsbehörde des Bundes. Es entwickelt IT-Sicherheitsstandards, warnt vor digitalen Bedrohungen und unterstützt Behörden, Unternehmen und Betreiber kritischer Infrastrukturen. Außerdem prüft und bewertet das BSI Sicherheitsrisiken in vernetzten Systemen – auch dort, wo IT direkt in die physische Welt wirkt, etwa bei Energie- und Ladeinfrastruktur.
Wenn IT-Probleme physisch werden – bis hin zum Netz
Stört oder manipuliert jemand die Ladekommunikation, kann das mehr auslösen als einen Abbruch der Session. Je nach Auslegung der Hardware drohen Bauteilschäden oder thermische Überlast – oder Schutzfunktionen schalten rechtzeitig ab. Im Extremfall kann ein koordinierter Angriff auf viele Verbindungen oder auf einen Lade-Hub sogar die Netzstabilität treffen, weil Angreifer Lasten gezielt verschieben.
Was regelt UNECE R 155?UNECE R 155 ist eine UN-Regelung, die Herstellern ein Cybersecurity-Management-System für Fahrzeuge vorschreibt. Sie verlangt, dass Unternehmen Cyberrisiken über den gesamten Lebenszyklus eines Fahrzeugs erkennen, bewerten und mit passenden Maßnahmen absichern – inklusive Updates und Monitoring. Die Vorgaben spielen vor allem bei der Typgenehmigung eine Rolle und zielen darauf, Security-Prozesse verbindlich zu machen, nicht einzelne technische Details vorzuschreiben.
Bidirektionales Laden verschärft die Anforderungen
Mit bidirektionalem Laden kommt eine zweite Richtung dazu: Autos nehmen nicht nur Energie auf, sie speisen auch zurück. Das BSI erwartet dadurch deutlich stärkere Effekte, wenn Steuerung und Kommunikation fehllaufen oder jemand sie gezielt manipuliert – denn dann beeinflussen Systeme nicht nur den Verbrauch, sondern auch Einspeisung und Entnahme.
An einer Ladesäule fließt nicht nur Strom - verschiedene Systeme tauschen mit dem Fahrzeug auch Daten aus.
Branche: Kein Alarmismus, aber klarere Regeln
Der VDA (Verband der Automobilindustrie) verweist auf neue Anforderungen durch Plug & Charge und bidirektionales Laden, etwa bei sicherer Kommunikation, Authentifizierung und Zertifikatsmanagement. Gleichzeitig betont der Verband, IT-Sicherheit gehöre bei Herstellern fest in Entwicklung und Produktion; entscheidend sei eine interoperable Umsetzung entlang der gesamten Kette.
Was ist der BDEW?Der BDEW (Bundesverband der Energie- und Wasserwirtschaft) ist der zentrale Branchenverband für Unternehmen aus Strom-, Gas-, Fernwärme-, Wasser- und Abwasserwirtschaft in Deutschland. Er vertritt Versorger, Netzbetreiber und viele weitere Marktakteure gegenüber Politik, Behörden und Öffentlichkeit. Beim Hochlauf der Ladeinfrastruktur mischt der BDEW sich vor allem ein, wenn es um Netzbetrieb, Regulierung und Sicherheitsanforderungen an energienahe IT-Systeme geht.
Der BDEW (Bundesverband der Energie- und Wasserwirtschaft) sieht Risiken, aber keinen Anlass für Alarmismus und verweist auf bislang fehlende gravierende, meldepflichtige Vorfälle. Er fordert vor allem klarere, besser abgestimmte Vorgaben: Je nach Baustein greifen heute unterschiedliche Regelwerke parallel – vom Auto als digitalem Produkt über Ladesäulen als Teil der Energienetze bis hin zu Akkuverbünden als virtuellen Kraftwerken.
