Wie sicher sind öffentliche Ladesäulen?

Wie sicher sind öffentliche Ladesäulen? Ein BSI-Bericht zeigt gravierende Schwachstellen und warnt vor Cyberangriffen auf die Ladeinfrastruktur.

Ladesäulen im öffentlichen Raum stellen eine latente Gefahr bezüglich Cybersicherheit dar.

Foto: Smarterpix / Sopotniccy

Mit dem neuen „Bericht zur IT-Sicherheit der öffentlichen Ladeinfrastruktur“ legt das Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) erstmals eine systematische Gefährdungsanalyse für öffentliche Ladesäulen und deren vernetzte Systeme vor. Der Bericht zeigt, dass die Cybersicherheit der Ladeinfrastruktur

zu einer der großen Herausforderungen der Verkehrswende gehört. Denn Angriffe stören nicht nur einzelne Ladevorgänge, sondern könnten im Extremfall sogar das Stromnetz beeinträchtigen.

In dem aktuellen Bericht betrachten die Expertinnen und Experten des BSI ausschließlich öffentliche und halböffentliche Ladepunkte – also Ladesäulen im Straßenraum, Ladehubs an Verkehrsachsen sowie Ladeparks an Kundenparkplätzen. Gegenstand der Analyse sind zudem alle relevanten Akteure von Fahrzeugherstellern über Ladestationsbetreiber bis hin zu Netzbetreibern. Grundlage ist ein Modell mit sechs sogenannten funktionalen Clustern.

Die sechs BSI-Cluster
Zentrale Schwachstellen: Kommunikation zwischen E-Auto und Ladesäule
Ladesäulen selbst sind nicht sicher
Ladeelektronik seitens der Hersteller: Aktuelle Lage ist schwierig einzuschätzen
Cybersicherheit bei Ladesäulen: Es hakt an verschiedenen Stellen
Folgen für Verbraucherinnen und Verbraucher
Mehr Cybersicherheit an Ladesäulen für das BSI unumgänglich
Mehr Elektromobilität erfordert ein höheres Maß an IT-Sicherheit an Ladesäulen
Mehr Cybersicherheit – mehr Elektromobilität?

Lesen Sie auch:

Willkommen in der Industrie der Zukunft

Ranking

603 km/h auf Schienen: Das sind die schnellsten Züge der Welt

IT-Gehälter

Was Informatiker und IT-Fachkräfte wirklich verdienen

Krypto-News

Bitcoin Prognose: Rekord-Jagd auf die letzten Coins! Firmen kaufen 50.000 BTC in Q1 – Top-Analyst sieht „Angebotsschock“

Stellenangebote im Bereich IT/TK Consulting, Vertrieb

IT/TK Consulting, Vertrieb Jobs

Wissenschaftliche*r Mitarbeiter*in (m/w/d) der Fachrichtung Ingenieurwissenschaften, Informatik, Physik, Chemie, Materialwissenschaften, Data Engineering oder vglb. BAM Bundesanstalt für Materialforschung und -prüfung

Berlin-Steglitz Zum Job

Die sechs BSI-Cluster

1. Ladekommunikation: Sie beschreibt den Austausch zwischen Fahrzeug und Ladestation. Es geht also um die Ladevorgänge, bei denen bestimmte Parameter ausgetauscht werden.

2. Stromversorgung: Das BSI fasst diesen Begriff sehr weit – vom Stromnetz über die aktive Steuerung von Ladesäulen bis hin zu einem dynamischen Tarif, der Lasten verteilt.

3. Authentifizierung und Autorisierung: Sowohl das Fahrzeug als auch die Person müssen für einen Ladevorgang identifiziert werden können. Eine Autorisierung erfolgt in der Regel per App oder Ladekarte. In beiden Fällen findet ebenfalls ein Datenaustausch statt.

4. Abrechnung: Erst wenn die geladene Strommenge erfasst, dies mit einem Preis kombiniert worden ist, kann eine Abrechnung erfolgen. Es werden also Messwerte kommuniziert, die es ebenfalls zu schützen gilt.

5. Systemverwaltung: Dazu gehört der gesamte Betrieb der öffentlichen Ladeinfrastruktur, inklusive Updates, neue Konfigurationen und auch das Monitoring.

6. Zertifikatsverwaltung: Zertifikate stellen meistens die Basis für die Sicherheit verschiedener Protokolle und Anwendungen dar.

Eine strukturierte Bewertung der IT-Sicherheit erfolgt über die gesamte Ladeinfrastruktur hinweg, da es an den verschiedenen Stellen immer wieder zum Austausch unterschiedlicher Informationen und Daten kommt.

Zentrale Schwachstellen: Kommunikation zwischen E-Auto und Ladesäule

Im Schwerpunkt-Cluster Ladekommunikation identifiziert das BSI vor allem Schwächen in der Kommunikation zwischen Elektrofahrzeug und Ladesäule. Genutzt werden dafür Protokolle wie ISO 15118, DIN SPEC 70121 und die zugrunde liegende Powerline-Technik Homeplug Green PHY. Sie sind alle anfällig für Störungen und Angriffe.

Beispiel „Brokenwire“-Angriff: Bei diesem drahtlosen Angriff können Ladevorgänge aus der Distanz gestört oder abgebrochen werden. Im Vergleich dazu ermöglicht eine fehlende oder nur optionale Transportverschlüsselung ebenfalls Angriffe und auch das Mitlesen sensibler Daten.

Ladesäulen selbst sind nicht sicher

Besonders kritisch fällt die Bewertung der Ladesäulen selbst aus: Für sie werden Dutzende Schwachstellen beschrieben. In die Bewertung flossen auch Ergebnisse aus verschiedenen Initiativen sowie einem hochdotierten Hacking-Wettbewerb, Pwn2Own, ein. Im Rahmen des Wettbewerbs war es gelungen, die komplette Kontrolle über eine Ladestation zu übernehmen.

Das aktuelle Schutzpotenzial sei auf dem Niveau eines Computers aus den 1990er-Jahren. Häufig würden grundlegende Prinzipien der IT-Sicherheit nicht beachtet, weshalb das BSI von einem hohen Schadenspotenzial an dieser zentralen Stelle der Ladeinfrastruktur ausgeht.

Ladeelektronik seitens der Hersteller: Aktuelle Lage ist schwierig einzuschätzen

Bei den Ladesäulen ist unterschiedliche Hard- und Software im Einsatz. Das bedeutet: Herstellerspezifische Unterschiede sind Normalität. Schwachstellen geben die Hersteller nicht bekannt. Allerdings geht das BSI davon aus, dass potenzielle Angriffe große Schäden anrichten können, die sich auf die Hard- und die Software der Ladestationen auswirken. Es könne sogar zu einem ausgedehnten Ausfall der öffentlichen Ladeinfrastruktur kommen, was im schlimmsten Fall auch das Stromnetz in Mitleidenschaft zöge.

Cybersicherheit bei Ladesäulen: Es hakt an verschiedenen Stellen

Bei den Backend-Systemen der Ladestationsbetreiber sieht es nicht viel besser aus. Auch hier lägen erhebliche Defizite in der IT-Sicherheit. Die Analyse verweist auf Beispiele wie SQL‑Injection, fehlende Transportverschlüsselung oder Standardzugangsdaten, die im schlimmsten Fall zum Ausfall vieler Ladesäulen oder zur Manipulation von Abrechnungsdaten führen können.

Ein weiterer Fokus liegt auf der Public‑Key‑Infrastruktur, die für Plug‑and‑Charge und verschlüsselte Verbindungen zwischen Fahrzeug, Ladesäule und Backend unverzichtbar ist. Hier entstünden Risiken durch komplexe Zertifikatsketten, verteilte Zuständigkeiten und die Abhängigkeit von wenigen zentralen Vertrauensankern, deren Kompromittierung weitreichende Folgen für die gesamte öffentliche Ladeinfrastruktur hätte.

Folgen für Verbraucherinnen und Verbraucher

Bei der Betrachtung der Bezahlmöglichkeiten fällt auf: Ladekarten mit RFID-Technik bieten nur unzureichenden Schutz. Laden per Kreditkarte funktioniert in der Regel als separat abgeschlossenes System, was keine neuen Gefährdungen mit sich bringt. Zur dritten Variante, sich per App an der Ladesäule zu identifizieren, gibt es aktuell noch zu wenig Untersuchungen. Grundsätzlich ist es natürlich möglich, dass die Nutzerin oder der Nutzer durch einen sogenannten Phishing-Angriff kompromittiert und so selbst zur Schwachstelle wird. Das übertrüge sich dann auch auf den Ladevorgang.

Manipulationen von Ladevorgängen, falsche Abrechnungen oder der Missbrauch von Zugangsdaten – Verbraucherinnen und Verbraucher sind von der Cybersicherheit der Ladesäulen direkt betroffen. Zudem können erfolgreiche Angriffe auf Ladeparks zu erheblichen Mobilitätseinschränkungen führen, etwa wenn viele Schnellladesäulen gleichzeitig ausfallen oder Ladevorgänge massenhaft abgebrochen werden.

Mehr Cybersicherheit an Ladesäulen für das BSI unumgänglich

Über alle Cluster hinweg fordert das BSI einen Paradigmenwechsel hin zu verpflichtendem „Security‑by‑Design“ und „Security‑by‑Default“, da viele Sicherheitsmechanismen in den heutigen Normen zwar vorgesehen, in der Praxis aber nur optional oder gar nicht umgesetzt sind. Empfohlen werden unter anderem die konsequente Nutzung aktueller Transportverschlüsselung wie TLS, sichere Update‑Mechanismen und ein professionalisiertes Schwachstellenmanagement entlang der gesamten Wertschöpfungskette.

Zugleich sieht der Bericht regulatorischen Handlungsbedarf: Zum einen ergäben sich die Anforderungen an die öffentliche Ladeinfrastruktur aus ganz unterschiedlichen Gesetzen, Verordnungen und technischen Vorgaben, zum anderen gelten viele IT‑Sicherheitsanforderungen für zentrale Akteure bislang nur allgemein oder über unverbindliche technische Dokumente. Das BSI spricht sich daher für klarere, verbindliche Vorgaben zur IT-Sicherheit der Ladeinfrastruktur sowie für eine stärkere Förderung von Sicherheitsforschung und koordinierter Offenlegung von Schwachstellen aus.

Mehr Elektromobilität erfordert ein höheres Maß an IT-Sicherheit an Ladesäulen

Da die Elektromobilität weiter ausgebaut werden soll und damit einher auch eine zunehmende Vernetzung der Infrastruktur erforderlich ist, zeigt sich, wie relevant das Thema Cybersicherheit der öffentlichen Ladeinfrastruktur ist. Sie gehöre ebenso zur kritischen Infrastruktur wie Stromnetze und müsse deshalb entsprechend geschützt werden.

Ladeinfrastruktur in Deutschland

Laut Bundesnetzagentur waren bis Ende März 2026 rund 200.000 öffentliche Ladepunkte und 111.000 Ladesäulen in Deutschland in Betrieb. Allein im Jahr 2025 gab es einen Zuwachs von etwa 16 Prozent gegenüber 2024. Gleichzeitig stieg die installierte Ladeleistung deutlich stärker (um rund 29 Prozent), was zeigt, dass vor allem leistungsstarke Schnellladestationen hinzukommen.

Trotz der insgesamt positiven Entwicklung ist das Netz deutschlandweit sehr unterschiedlich ausgebaut: In den Bundesländern Baden-Württemberg (28.359 Normallladepunkte und 6.053 Schnellladepunkte / Stand 04/2026), Bayern (28.490 Normallladepunkte und 9.779 Schnellladepunkte / Stand 04/2026) und Nordrhein‑Westfalen (29.932 Normallladepunkte und 9.588 Schnellladepunkte / Stand 04/2026) finden sich die meisten öffentlichen Ladepunkte, während es in Mecklenburg-Vorpommern mit 1.825 Normallladepunkten und 1.118 Schnellladepunkten (Stand 04/2026) sowie in Sachsen-Anhalt mit 2.203 Normallladepunkten und 1.397 Schnellladepunkten (Stand 04/2026) noch ausbaufähig ist.

Mehr Cybersicherheit – mehr Elektromobilität?

Der Masterplan Ladeinfrastruktur II der Bundesregierung verankert Cybersicherheit ausdrücklich als Schlüsselherausforderung und sieht vor, die IT-Sicherheit von Ladesäulen und Backends systematisch zu stärken und gegebenenfalls zusätzliche Maßnahmen vorzuschlagen.

Um das Zusammenspiel von Förderung und IT-Sicherheit zu verbessern, empfiehlt das BSI, Cybersicherheit und IT-Sicherheit als verbindliche Voraussetzung für die verschiedenen Förderprogramme zu verankern. So könnte die staatliche Förderung dazu beitragen, dass neue Ladesäulen von Anfang an mit einem höheren Sicherheitsniveau in Betrieb gehen.

Für das BSI ist einerseits der Schutz der Verbraucherinnen und Verbraucher sowie der Infrastruktur von entscheidender Bedeutung. Andererseits sei das Vertrauen der Menschen in diese Ladeinfrastruktur ein zentraler Baustein, damit künftig mehr E-Autos auf Deutschlands Straßen unterwegs sind.

Ein Beitrag von:

Nina Draese

Nina Draese hat unter anderem für die dpa gearbeitet, die Presseabteilung von BMW, für die Autozeitung und den MAV-Verlag. Sie ist selbstständige Journalistin und gehört zum Team von Content Qualitäten. Ihre Themen: Automobil, Energie, Klima, KI, Technik, Umwelt.