Nur wenige AC-Säulen sind sicher – Ladesäulen-Betrug Quishing

Von Mario Hommen, SP-X
Ladesäulen mit dynamischer QR-Code-Anzeige wie die connect.public von Amperfied bietet Schutz vor Quishing
Ladesäulen mit dynamischer QR-Code-Anzeige wie die connect.public von Amperfied bietet Schutz vor Quishing Foto: Heidelberg

Vor allem technisch einfach ausgestattete AC-Ladesäulen bieten sich für den so genannten Quishing-Betrug an. Ein Ladesäulentyp aus deutscher Produktion ist gegen diese Masche allerdings gewappnet.

Lesezeit: 2 Minuten
Anzeige

SP-X/Köln. Online-Betrüger haben mit dem so genannten Quishing eine neue Masche entdeckt, um Elektroautofahrer beim Ad-hoc-Bezahlvorgang an öffentlichen Ladestationen mit gefälschten QR-Codes abzuzocken. Über das Phänomen berichtete unter anderem die Zeitschrift Auto Motor und Sport auf Basis der Erfahrungen einiger Betrugsopfer. Auch der ADAC und die Verbraucherzentrale warnen inzwischen vor dieser Masche. Vor allem die im städtischen Umfeld häufiger anzutreffenden AC-Ladesäulen erweisen sich als besonders anfällig, da sie häufig auf ein Display verzichten, auf dem sich dynamische QR-Codes anzeigen lassen.

Ladesäulen mit dynamischer QR-Code-Anzeige wie die connect.public von Amperfied bietet Schutz vor Quishing
Ladesäulen mit dynamischer QR-Code-Anzeige wie die connect.public von Amperfied bietet Schutz vor Quishing
Foto: Heidelberg

Der weit überwiegende Teil der in Deutschland installierten Ladesäulen verzichtet bislang auf die Ausstattung mit sicheren digitalen Bezahlsystemen, bei denen zum Bezahlen beispielsweise nur eine Kreditkarte vorgehalten werden muss. Die Mehrheit der E-Fahrer schließt daher sogenannte Roaming-Verträge ab, die es ermöglichen, Ladevorgänge an Ladesäulen verschiedener Betreiber per App oder Roaming-Karte zu initiieren. Die Abrechnung erfolgt dann über den Roaming-Anbieter wie z.B. EnBW, der die Aktivierung einer Vielzahl von Ladesäulen verschiedener Anbieter über die Mobility+ App ermöglicht. Alternativ besteht die Möglichkeit, spontan ohne Roaming-Vertrag Strom zu tanken und pro Tankvorgang direkt an den Ladesäulenbetreiber zu zahlen. Dies geschieht in der Regel online. An vielen Ladesäulen befindet sich dazu ein QR-Code, der direkt auf die Bezahlseite des Ladesäulenbetreibers führt. Betrüger können diesen QR-Code-Aufkleber jedoch mit einem eigenen QR-Code überkleben, der dann auf Webseiten weiterleitet, die vorgeben, vom Ladesäulenbetreiber zu stammen. Auf der gefälschten Seite hinterlassen Kundinnen und Kunden ihre Kontodaten, mit denen die Betrüger dann versuchen, Geld abzubuchen. Die neue Phishing-Methode mit dem QR-Code wurde deshalb Quishing getauft.

Einige neuere Ladesäulen sind technisch gegen diese Art von Manipulation geschützt. Dabei handelt es sich vor allem um Schnellladesäulen (DC), seltener um Normalladesäulen (AC). Einer der wenigen Hersteller von AC-Ladesäulen mit dynamischen QR-Codes auf dem Display ist Amperfied. Die E-Mobility-Tochter des Druckmaschinenherstellers Heidelberg hat diese Technik entwickelt, weil die europäische Ladesäulenrichtlinie sie ursprünglich für öffentliche Ladesäulen mit weniger als 50 kW Leistung vorschreiben wollte. Um den Aufbau der Infrastruktur nicht weiter zu verteuern, wurde die Regelung jedoch noch vor ihrer Einführung gelockert. Daher sind bis heute statische QR-Codes an normalen Ladesäulen erlaubt. Dynamische Säulen sind daher außerhalb von Schnellladern bislang die Ausnahme.

Mario Hommen/SP-X