Do, 25. April 2019
19.12.2017 09:41

Unsichere Ladekarten

Riesige Sicherheitslücke beim Stromtanken

Wer beim Betanken seines E-Autos ein kartenbasiertes Bezahlsystem nutzt, sollte die Abrechnung regelmäßig kontrollieren. Denn die Technik lässt sich kinderleicht manipulieren, wie ein IT-Sicherheitsexperte nun am Beispiel der Karte des Anbieters New Motion nachgewiesen hat, der unter anderem mit Smatrics kooperiert.

Die Daten auf der sogenannten NFC-Karte seien nicht verschlüsselt und man könne sehr einfach perfekte Klone herstellen, so Mathias Dalheimer auf seiner Website. Der Mitarbeiter des Fraunhofer Instituts für Techno- und Wirtschaftsmathematik (ITWM) will seine Ergebnisse demnächst bei einem Kongress des Chaos Computer Clubs (CCC) vorstellen. Vorab liefert er im Internet bereits eine ausführliche Dokumentation. Demnach autorisieren sich die Karten vom Typ "Mifare Classic 1k" gegenüber der Ladesäule lediglich durch die offen zugänglich gespeicherte Kartennummer, einen zusätzlich verschlüsselten Code oder eine sonstige digitale Signatur gibt es nicht. Theoretisch bieten die Karten zwar eine Sicherheitsfunktion, sie wird jedoch nicht genutzt. Vielleicht auch, weil diese laut Dalheimer bereits vor zehn Jahren geknackt wurde.

Wer also die Nummer einer fremden Karte, etwa mit einem handelsüblichen Kartenleser, ausliest und sich einen Klon erstellt (Blankokarten gibt es für wenige Cent unter anderem bei Amazon), kann auf Kosten des rechtmäßigen Kartenbesitzers tanken.

Es geht aber auch ohne direkten Zugriff auf eine fremde Karte: Da die Nummer lediglich 14 Stellen umfasst, kann eine gültige Kombination auch einfach durch Versuch und Irrtum erraten werden. Zumindest wenn man dafür ein Computerprogramm an eine Ladesäule anschließt, dauert der Vorgang nicht länger als 15 Minuten. Das sei durchaus nachts auf einem Parkplatz machbar, so Dalheimer. Die benötigten Geräte sind für kleines Geld frei verfügbar.

Getestet hat Dalheimer sein Verfahren mit den Karten des Ladedienstanbieters New Motion, der nach eigenen Angaben über ein Netz von 50.000 Stationen in Europa verfügt. Der Experte geht allerdings davon aus, dass der Betrug in so ziemlich jedem Ladeverbund mit kartenbasierter Abrechnung funktioniert.

Inwieweit der Ladekartenbetrug als kriminelles Geschäftsmodell taugt, ist allerdings ungewiss. Da die Ladesäule den Tankvorgang dokumentiert und auch den Ort des Ladevorgangs kennt, ist das Entdeckungsrisiko für den Täter relativ groß. Zudem ist die Beute recht überschaubar: Für die Füllung eines durchschnittlichen 40-kWh-Akkus werden rund zwölf Euro plus eventuelle Gebühren fällig. Für betroffene Kunden wäre es jedoch ärgerlich, Opfer eines solchen Betrugs zu werden. Denn diesen im Einzelfall nachzuweisen, dürfte aufwendig werden.

(SPX)

Kommentare

Eingeloggt als 
Nicht der richtige User? Logout

Willkommen in unserer Community! Eingehende Beiträge werden geprüft und anschließend veröffentlicht. Bitte achten Sie auf Einhaltung unserer Netiquette und AGB. Für ausführliche Diskussionen steht Ihnen ebenso das krone.at-Forum zur Verfügung.

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Aktuelle Schlagzeilen
Willkommen, Mary-Lou!
Baby-Alarm! Marcel Sabitzer ist Vater geworden
Fußball International
„Nicht korrekt!“
DFB-Geständnis: Bayern-Elfer war Fehlentscheidung!
Fußball International
Identitäre, BVT etc.
Strache übersteht Misstrauensantrag der SPÖ
Österreich

Newsletter