Den Test der Ladeinfrastruktur für Elektroautos kündigte Tobias Castagna bereits im Oktober an. Den Auftrag dafür gab sich das Nationale Testinstitut für Cybersicherheit (NTC) gleich selbst. Man teste Produkte und digitale Infra­struk­turen, die sonst niemand überprüft. Und die Resultate würden zeigen, dass das Testing nötig war, sagte Tobias Castagna, Leiter Testexperten beim NTC damals in unserem Interview.

Im nun veröffentlichten Bericht (PDF) werden diese ersichtlich. "Bei rund 30 Organisationen wurden schwerwiegende Sicherheitslücken festgestellt", heisst es in der zugehörigen Mitteilung. Namentlich will das NTC auf Anfrage keine davon nennen. "Wir wollen keinen Pranger", sagt uns Castagna. Ausserdem hätten die meisten Anbieter "vorbildlich reagiert und die entdeckten Lücken geschlossen". Zwischen der Information an die Unternehmen und der Publikation des Berichts hat das NTC 90 Tage verstreichen lassen, was der eignen Vulnerability Disclosure Policy (VDP) entspricht.

Ob mit Tesla einer der grössten und wichtigsten Anbieter zu den getesteten Anbietern gehört, will Castagna ebenfalls nicht sagen. Man wolle vermeiden, dass ein falsches Sicherheitsgefühl aufkomme. Unternehmen sollen nicht denken, "das NTC hat uns getestet, also müssen wir nichts mehr unternehmen". Castagna bestätigt aber, "dass Tesla nicht zu jenen 30 Organisationen gehört, bei denen Lücken gefunden worden sind".

Konkret getestet haben 3 Testexperten des NTCs im Zeitraum von Mai bis August 2023 "über das Internet zugängliche Systeme von rund 50 verschiedenen Herstellern", wie es mitteilt. Dazu gehören "7 mobile Apps, die Firmware von 11 Ladesäulen und zentrale Backend-Applikationen von 23 Ladesäulenbetreibern". Dafür wurden nach Angaben des NTCs 90 Personentage für "Recherche, Analyse, Test, Dokumentation und Benachrichtigung sowie Beratung der betroffenen Organisationen" aufgewendet.

Eines der auffälligsten Risiken sei die "Verwendung der weitverbreiteten, aber veralteten und unsicheren Version 1.6 des Kommunikationsprotokolls OCPP" gewesen. Hersteller sollten nur die neueste Version 2.0.1 des Protokolls verwenden, da diese um wichtige Sicherheitsmerkmale erweitert worden sei. Ebenfalls seien "überraschend häufig" SQL-Injection-Schwachstellen identifiziert worden.

Einige wenige Lücken sind allerdings auch nach Ablauf der 90-Tage-Frist noch ungepatcht. Diese Anbieter erhalten eine Art zweite Chance vom NTC, die Lücken zu schliessen. Andernfalls könne es sein, dass "wir deren Namen publizieren", sagt Tobias Castagna.