Sicherheitsstudie Ladeinfrastrukturanbindung; Steuerung von Ladeinfrastruktur durch CPOs und Aggregatoren

Abstract

The huge success and a steadily increasing number of e-vehicles in Austria results in the need for a comprehensive, high-performance and reliable charging infrastructure, both in private households and in (semi-)public spaces. The required extension of the charging infrastructure is challenged, among others, by the high charging capacity of charging stations and by the need for enhancements to the existing low-voltage and medium-voltage grid infrastructures. In addition to a long-term increase of the overall grid capacity, alternative short-term measures must be evaluated that support grid stability by technical means and minimize the impact of possible power bottlenecks onto customer perception. However, the electricity grid is a critical infrastructure and therefore a tempting target for attackers. The protection of the grid’s IT components against cyberattacks is essential to ensure the secure transmission of sensor data and control actions This study analyzes the security and potential attack surfaces, as well as privacy threats in the case of “smart charging”, in particular considering the remote control of e-vehicle charging stations of residential customers by charging point operators (CPOs). Many energy suppliers have already gained extensive experience as CPOs in the operation of charging stations and load management in (semi)public spaces for more than ten years. Charging stations of residential customers have not been controlled by CPOs so far, but offer great potential for grid stabilization in view of the high growth rates and increasing charging capacities. Challenges in controlling residential charging stations include secure communication between CPOs and charging stations, coexistence of charging station control with various smart home devices in the customer's local communication network (local area network, LAN), as well as conformance to the General Data Protection Regulation (GDPR) and privacy demands. Security in the context of communication networks includes the so-called CIA triad, consisting of the security objectives confidentiality, integrity and availability. Encryption with the goal of confidentiality is necessary to prevent passive eavesdropping of the communication between charging station and CPO by attackers. Integrity assurance of the communication between charging station and CPO prevents attacks by so-called man-in-the-middle (MitM), who could otherwise falsify data values or generate false control signals. Availability is essential for the CPO to always have timely access to charging station status and to actually control them. These are two main prerequisites that enable the CPO to intervene quickly and efficiently for stabilizing the grid in the case of an incident (e.g., power bottleneck). At a technical level, the Open Charging Point Protocol (OCPP) standardized by the OpenChargingAlliance (OCA) in versions 1.6 and 2.0.1 respectively has established an open standard for the communication of the CPO with charging stations at the time of writing (Q1 2023). Even though activities have been started to standardize potential successor protocols such as IEC 63110, decision makers from politics and industry prefer to use the open OCPP standard to expand the charging infrastructure. Accordingly, the focus of this study is to analyze the security and privacy of remote control of charging stations at customers by CPOs using the OCPP protocol. Furthermore, the expected response times of this control mechanism are evaluated in order to assess its technical feasibility and functionality. The extensive research of existing scientific publications and standards on the topic of "security of charging infrastructures" concludes that, at the time of writing, no significant weaknesses of OCPP are known that could question a secure control of charging stations. The standardization of OCPP has made important improvements in the area of security in the last versions (OCPP-J 1.6 with security enhancements as well as 2.0.1). OCPP security profiles 2 (TLS with server certificate) and 3 (TLS with server and client certificate) demand for mandatory end-to-end encryption using Transport Layer Security (TLS). TLS version 1.2 and its successor version 1.3 ensure a basic, necessary prerequisite for secure charging station control when suitable cryptographic methods and ciphers are used. The analysis of possible variants of charging station control has revealed high-level threat scenarios that must be prevented by suitable countermeasures: 1. An attacker can impede, disrupt or prevent the necessary control of private charging stations by the CPO. 2. An attacker can compromise and control charging stations due to security vulnerabilities. 3. An attacker achieves points (1) and (2) for a large number of charging stations. 4. Remote access to the charging station by an attacker or CPO compromises customer privacy. At a technical level, the architecture of the communication path that connects the CPO’s backend (Charge Point Management System, CPMS) and the customer’s charging station is a key factor in restricting possible attack options The study therefore examines four possible use cases, in detail: AF0: offline charging station, AF1: charging station with mobile radio connection, AF2: charging station with connection via the customer's LAN or its existing Internet connection, and AF3: charging station with simultaneous connection via mobile radio and the customer's LAN or Internet. At the protocol level, the study concludes that OCPP 2.0.1, or OCPP-J 1.6 (JSON/Websocket) with security extensions when using OCPP security profile 3, are suitable for secure charging station control by the CPO. If additional conditions are met - each charging station must store a unique, secret key that is not known to and cannot be guessed by attackers - OCPP security profile 2 is also suitable for secure charging station control, but increases the CPO's potential attack surface in terms of availability. While a CPO using OCPP security profile 3 can already block the connection attempts of attackers during the TLS connection setup, with OCPP security profile 2 it can only do so at a later point in time, during the mandatory authentication of the charging station. This criterion can be crucial in successfully defending against distributed denial-of-service attacks by malware and botnets. The use of OCPP-S 1.6 or earlier versions (based on SOAP/XML) is explicitly discouraged because, among other deficiencies, the OCPP standard does not define (sufficient) standardized security measures. At an architectural level, the study identified that AF1 (charging station with mobile connection using a private access point name (APN) and with additional security measures) offers most benefits from the point of view of confidentiality, integrity and availability, and especially with regard to protecting the privacy of customers. The main drawbacks are costs for the CPO and difficulties in the absence of radio coverage (underground garages, rural areas with weak mobile reception). An alternative is AF2 (connection via Internet modem and customer LAN) in variant 1 (a subcase of AF2: customers cannot access their charging stations locally, but only via CPO). However, protecting the privacy of customers requires technical solutions to isolate the charging station in its own virtual LAN (VLAN) or WiFi from the customer's LAN. Otherwise, customers have no technical way to prevent the CPO from abusing access to the charging station to spy on customers' LAN/WiFi and their behavior. The last statement applies equally to AF 2 variant 2 (customers have local access to their charging stations) and to AF3. Similarly, AF2 and AF3 (without VLAN isolation of the charging station) endanger the security of the charging station: compromised devices connected to the customer’s LAN can explore the charging station, try to identify its vulnerabilities and attack it. AF0 (offline charging station) will no longer be allowed from 2025 due to regulatory requirements (Austrian Technical and Organizational Rules for Operators and Users of Networks, TOR Verteilernetze). The evaluation of measurements in real mobile networks allows an estimation of possible response times of the charging station in case of a control command sent by the CPO to the charging station. These response times depend on the size of the control message, the cellular technology used, and the time of inactivity of the cellular connection before the CPO sends the control command. One finding was that short periods of inactivity (about 30 seconds of no data transmission) for cellular networks lead to a significant increase in transmission time for the first control packet. For a case considered realistic, an average round-trip delay of about 0.65 seconds for 4G, 1.8 seconds for 3G, and 3 seconds for 2G networks was determined for a 1500-byte control command, depending on the radio technology. When using wireline networks (VDSL, cable), significantly lower round-trip times can be assumed, i.e., the 3 seconds (plus charging station processing time) for 2G indicate an upper bound for expected response times. In summary, the study finds that, if the recommended security measures are considered, OCPP offers a secure way for the CPO to control charging stations at residential customers, with promising potential for network stabilization.

Mit der steigenden Anzahl von E-Fahrzeugen geht der Bedarf einer flächendeckend ausgebauten, leistungsfähigen und verlässlichen Ladeinfrastruktur einher, sowohl in Privathaushalten als auch im (halb-)öffentlichen Raum. Dem Ausbau der Ladeinfrastruktur sind vor allem durch die hohen Leistungen der Ladestationen sowie durch beträchtliche Investitionen in den Ausbau und der Erweiterung der verfügbaren Niederspannungs- und Mittelspannungsnetzinfrastruktur Grenzen gesetzt. Neben einem Ausbau der Netzkapazität sind deshalb kurzfristig umsetzbare Maßnahmen zu evaluieren, um mit technischen Mitteln die Netzstabilität aufrecht zu erhalten und die Auswirkung von möglichen Leistungsengpässen auf die Wahrnehmung von Kund_innen zu minimieren. Diese Studie analysiert die Sicherheit und mögliche Angriffsflächen, sowie die Gefährdungen der Privatsphäre im Falle der Fernsteuerung von Ladestationen („Smart Charging“) für E-Fahrzeuge bei Kund_innen durch Ladestationsbetreiber (Charge Point Operator, CPO). Viele Energielieferanten haben seit mehr als zehn Jahren bereits als CPO umfangreiche Erfahrungen im Betrieb von Ladestationen bzw. dem Lastmanagement im (halb-)öffentlichen Raum gesammelt. Ladestationen von Privatkund_innen werden bisher nicht durch CPOs gesteuert, bieten jedoch angesichts der hohen Steigerungsraten und zunehmenden Ladeleistungen ein großes Potential zur Netzstabilisierung. Herausforderung bei der Steuerung von Ladestationen von Privatkund_innen sind unter anderem die sichere Kommunikation zwischen CPO und Ladestation, die Koexistenz der Ladestationssteuerung mit diversen SmartHome-Geräten im Kommunikationsnetz (LAN) der Kund_innen und Themen betreffend Datenschutz-Grundverordnung (DSGO) und Privatsphäre. Sicherheit im Kontext der Kommunikationsnetze beinhaltet die sogenannte CIA-Triade, bestehend aus Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability). Eine Verschlüsselung mit dem Ziel der Vertraulichkeit ist notwendig, um passives Abhören der Kommunikation zwischen Ladestation und CPO Angreifer zu unterbinden. Die Integritätssicherung der Kommunikation zwischen Ladestation und CPO beugt Angriffen durch sogenannte Man-in-the-Middle (MitM) vor, die andernfalls Datenwerte verfälschen oder falsche Steuersignale generieren könnten. Die Verfügbarkeit ist eine wesentliche Voraussetzung dafür, dass ein CPO im Anlassfall (z.B. bei Leistungsengpässen) tatsächlich die Ladestationen von Kund_innen erreichen und schnell und effizient regelnd eingreifen kann. Auf technischer Ebene hat sich mit dem von der OpenChargingAlliance (OCA) standardisierten Open Charging Point Protocol (OCPP) in den Versionen 1.6 bzw. 2.0.1 zum Zeitpunkt des Verfassens der Studie (Q1 2023) ein offener Standard für die Kommunikation des CPOs mit Ladestationen etabliert. Auch wenn Aktivitäten zur Standardisierung potentieller Nachfolgeprotokolle wie beispielsweise IEC 63110 gestartet wurden, bevorzugen Entscheidungsträger aus Politik und Wirtschaft den Einsatz des offenen OCPP-Standards zum Ausbau der Ladeinfrastruktur. Schwerpunkt der Studie ist demzufolge die Analyse der Sicherheit und Privatsphäre der Fernsteuerung von Ladestationen bei Kund_innen durch CPOs unter Verwendung des Protokolls OCPP. Weitergehend werden zu erwartende Antwortzeiten dieser Ansteuerung evaluiert um die technische Machbarkeit und Funktionalität dieser Steuerungsform zu beurteilen. Die ausführliche Recherche vorhandener wissenschaftlicher Publikationen und Standards zum Themenblock „Sicherheit von Ladeinfrastrukturen“ kommt zum Schluss, dass zum Zeitpunkt des Verfassens der Studie keine wesentlichen Schwachstellen von OCPP bekannt sind, die einem sicheren Steuern von Ladestationen widersprechen. Die Standardisierung von OCPP hat in den letzten Versionen (OCPP-J 1.6 mit Sicherheitserweiterungen sowie 2.0.1) wichtige Nachbesserungen im Bereich Sicherheit vorgenommen. Die OCPP-Sicherheitsprofile 2 (TLS mit Server-Zertifikat) sowie 3 (TLS mit Server- und Client-Zertifikat) sehen eine verpflichtende Ende-zu-Ende Verschlüsselung mittels Transport Layer Security (TLS) vor. TLS in der Version 1.2 und Nachfolgeversion 1.3 gewährleisten bei der Verwendung geeigneter kryptographischer Verfahren (Ciphers) eine grundsätzliche, notwendige Voraussetzung für die sichere Ladestationssteuerung. Eine Analyse möglicher Varianten der Ladestationssteuerung hat high-level Bedrohungsszenarien ergeben, die durch geeignete Gegenmaßnahmen verhindert werden müssen: 1. Ein Angreifer kann die notwendige Steuerung von privaten Ladestationen durch den CPO erschweren, stören oder unterbinden 2. Ein Angreifer kann aufgrund von Sicherheitslücken Ladestationen übernehmen und regeln. 3. Ein Angreifer erreicht die Punkte (1) und (2) für eine große Anzahl von Ladestationen. 4. Ein Fernzugriff auf die Ladestation durch Angreifer oder CPO gefährdet die Privatsphäre der Kund_innen. Auf technischer Ebene ist die Architektur der Vernetzung zwischen dem Backend (Charge Point Management System, CPMS) des CPO und der Ladestation von Kund_innen ein wesentlicher Faktor für die Einschränkung möglicher Angriffs- und Abwehrmöglichkeiten. Die Studie untersucht demzufolge vier mögliche Anwendungsfälle, im Detail: AF0: Offline-Ladestation, AF1: Ladestation mit Mobilfunk-Anbindung, AF2: Ladestation mit Anbindung über das Kund_innen LAN bzw. dessen vorhandene Internet-Anbindung, sowie AF3: Ladestation mit gleichzeitiger Anbindung über Mobilfunk und das Kund_innen LAN bzw. -Internet. Auf Protokollebene kommt die Studie zum Schluss, dass sich OCPP 2.0.1, bzw OCPP-J 1.6 (JSON/Websocket) mit Sicherheitserweiterungen bei Verwendung des OCPP-Sicherheitsprofils 3 für eine sichere Ladestationssteuerung durch den CPO eignen. Sofern Zusatzbedingungen erfüllt sind – jede Ladestation muss einen eindeutigen, geheimen, den Angreifern nicht bekannten und von ihnen nicht erratbaren Schlüssel speichern – ist auch das OCPP-Sicherheitsprofil 2 für eine sichere Ladestationssteuerung geeignet, vergrößert jedoch die mögliche Angriffsfläche des CPOs bzgl. Verfügbarkeit. Während bei Verwendung des OCPP-Sicherheitsprofils 3 ein CPO die Verbindungsversuche von Angreifern bereits beim TLS-Verbindungsaufbau abblocken kann, gelingt ihm das bei OCPP-Sicherheitsprofil 2 nur zu einem späteren Zeitpunkt, bei der verpflichtenden Authentifizierung der Ladestation. Dieses Kriterium kann bei der erfolgreichen Abwehr von Distributed Denial-of-Service Angriffen mit Malware und Botnetzen entscheidend sein. Von der Verwendung von OCPP-S 1.6 oder früheren Versionen (basierend auf SOAP/XML) wird explizit abgeraten, da u.a. der Standard OCPP keine (ausreichenden) standardisierten Sicherungsmaßnahmen definiert. Auf architektureller Ebene ist das Ergebnis der Studie, dass AF1 (Ladestation mit Mobilfunk-Anbindung unter Verwendung eines privaten Access Point Name (APN) und mit zusätzlichen Sicherungsmaßnahmen) aus Sicht der Vertraulichkeit, Integrität und Verfügbarkeit, bzw. vor allem bezüglich Wahrung der Privatsphäre von Kund_innen die meisten Vorteile bietet. Wesentliche Nachteile sind Kosten für den CPO sowie Schwierigkeiten bei fehlender Funkversorgung (Tiefgaragen, ländlicher Bereich mit schwachem Mobilfunkempfang). Als Alternative bietet sich AF2 (Anbindung über Internet-Modem und LAN von Kund_innen) in der Variante 1 an (Kund_innen können nicht lokal auf ihre Ladestation zugreifen, Zugriff läuft ausschließlich über CPO). Die Wahrung der Privatsphäre der Kund_innen erfordert jedoch technische Lösungen, um die Ladestation in einem eigenen virtuellen LAN (VLAN) oder WLAN vom LAN der Kund_in zu isolieren. Andernfalls haben Kund_innen keine technische Möglichkeit zu verhindern, dass der CPO den Zugriff auf die Ladestation missbraucht, um das (W)LAN von Kund_innen und deren Verhalten auszukundschaften. Die letzte Aussage gilt gleichermaßen für AF2 Variante 2 (Kund_innen können auf Ladestation lokal, direkt zugreifen) sowie für AF3. Desgleichen gefährden AF2 und AF3 (ohne VLAN-Abschottung der Ladestation) die Sicherheit der Ladestation: kompromittierte Geräte im Kund_innen-LAN können die Ladestation auskundschaften, versuchen deren Schwachstellen zu identifizieren und angreifen. AF0 (Offline-Ladestation) wird aufgrund regulatorischer Erfordernisse (Technische und Organisatorische Regeln für Betreiber und Benutzer von Netzen, TOR Verteilernetze) ab 2025 nicht mehr zulässig sein. Die Evaluierung der Messungen in realen Mobilfunknetzen erlaubt eine Abschätzung möglicher Antwortzeiten der Ladestation bei einem Steuerbefehl des CPO an die Ladestation. Diese Antwortzeiten sind abhängig von der Größe des Steuerbefehls, der verwendeten Mobilfunktechnologie, sowie von der Zeit der Inaktivität der Mobilfunkverbindung vor dem Absetzen des Steuerbefehls durch den CPO. Festgestellt wurde, dass kurze Zeiten der Inaktivität (ca. 30 Sekunden keine Datenübertragung) bei Mobilfunknetzen zu einer deutlichen Erhöhung der Übertragungszeit beim ersten Steuerpaket führen. Für einen als realistisch erachteten Fall wurde für einen 1500 Byte großen Steuerbefehl, je nach Funktechnologie, eine mittlere Rundlaufzeit (Round-trip delay) von ca. 0,65 Sekunden für 4G, 1,8 Sekunden für 3G sowie 3 Sekunden für 2G Netze ermittelt. Bei Verwendung von drahtgebundenen Netzen (VDSL, Kabel) ist von deutlich geringeren Laufzeiten auszugehen, d.h. die 3 Sekunden (zuzüglich Bearbeitungszeit der Ladestation) für 2G geben eine obere Schranke für zu erwartende Antwortzeiten an. Zusammenfassend stellt die Studie fest, dass OCPP bei Berücksichtigung der empfohlenen Sicherheitsmaßnahmen eine sichere Möglichkeit der Leistungssteuerung von Ladestationen bei Privatkund_innen durch den CPO bietet, mit vielversprechendem Potential für die Netzstabilisierung.