Öffentliche Ladestationen: Welche Sicherheitsrisiken warnt das BSI?

Das BSI sieht Schwachstellen in vernetzten Ladesäulen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Mai 2026 auf Sicherheitslücken in öffentlichen Ladeinfrastrukturen hingewiesen. Vernetzte Ladesäulen kommunizieren über das Open Charge Point Protocol (OCPP) mit zentralen Managementsystemen — und genau dort liegen die Angriffspunkte.

Kernpunkt: Das BSI spricht nicht von Angriffen auf einzelne Fahrer, sondern von einem potenziellen Risiko für die Stabilität des Stromnetzes — ein koordinierter Angriff auf viele Ladesäulen gleichzeitig könnte lokale Netze überlasten.

Was genau sind die Risiken?

Das BSI identifiziert drei Hauptrisikobereiche:

1. Manipulierter Ladevorgang Angreifer könnten über unsichere OCPP-Verbindungen Ladevorgänge starten, stoppen oder manipulieren — ohne physischen Zugang zur Säule.

2. Datenschutzverletzungen Öffentliche Ladesäulen speichern Nutzerdaten: Fahrzeugkennung, Ladezeit, Standort, Zahlungsdaten. Schlecht gesicherte Systeme geben diese Daten preis.

3. Destabilisierung des Stromnetzes Das ist die gravierendste Gefahr: Wenn viele Ladesäulen gleichzeitig ferngesteuert maximale Leistung abrufen, kann das lokale Transformatoren überlasten.

Kernpunkt: Für Sie als einzelner Nutzer ist das unmittelbare Risiko gering. Die systemische Gefahr für die Energieinfrastruktur ist jedoch das eigentliche Anliegen des BSI.

Was Nutzer konkret tun können

Das BSI richtet seine Empfehlungen primär an Betreiber und Hersteller. Als Nutzer können Sie trotzdem:

• Offizielle Ladeapps bevorzugen — keine QR-Codes von unbekannten Aufklebern scannen (sog. „QR-Code-Phishing" oder „Quishing")
• Zahlungsbelege prüfen — unbekannte Abbuchungen sofort bei Ihrer Bank melden
• Keine persönlichen Daten über unbekannte Ladesäulen-Portale eingeben
• Bei Auffälligkeiten an der Ladesäule: Betreiber informieren und Bundesnetzagentur kontaktieren

Kernpunkt: „Quishing" — das Platzieren gefälschter QR-Codes über legitime Aufkleber — ist eine reale Bedrohung an Ladesäulen. Scannen Sie nur QR-Codes, die fest ins Gerät integriert sind, keine aufgeklebten.

BSI-Verbrauchertipps lesenBundesamt für Sicherheit in der Informationstechnik →

OCPP, NIS2 und regulatorische Reaktion

Das Open Charge Point Protocol (OCPP) ist der weltweite Kommunikationsstandard zwischen Ladesäulen und dem zentralen Managementsystem des Betreibers — und genau dort liegen die Schwachstellen, die das BSI anspricht.

Warum OCPP anfällig ist:

• Ältere OCPP-Versionen (1.6 und früher) wurden ohne TLS-Verschlüsselung entwickelt — Datenpakete laufen im Klartext über das Internet.
• Viele im Feld befindliche Ladesäulen lassen sich nicht per Fernwartung patchen — Software-Updates erfordern physischen Zugang.
• Authentifizierungsmechanismen sind in OCPP 1.6 minimal — schwache Standardpasswörter sind verbreitet.

OCPP 2.0.1 behebt viele dieser Schwächen durch verpflichtende TLS-Verschlüsselung und stärkere Authentifizierung, aber die Umstellung kostet Zeit und Geld.

Was auf regulatorischer Ebene jetzt passiert:

Das BSI fordert Hersteller und Netzbetreiber auf, OCPP-Verbindungen zu verschlüsseln und regelmäßige Sicherheitsaudits durchzuführen. Die EU-Richtlinie NIS2 verpflichtet Betreiber kritischer Infrastrukturen — dazu zählen Ladeinfrastrukturen ab einer bestimmten Größe — zu:

• Dokumentierter Risikoanalyse der gesamten Ladeinfrastruktur
• Meldung von Sicherheitsvorfällen innerhalb von 24 Stunden an das BSI
• Regelmäßigen Penetrationstests
• Bereithalten eines Incident-Response-Plans

Kernpunkt: Als Nutzer können Sie nicht erkennen, ob eine Ladesäule OCPP 1.6 oder 2.0.1 verwendet. Der wirksamste Selbstschutz bleibt: offizielle Anbieter-Apps nutzen, keine unbekannten QR-Codes scannen und Abrechnungen regelmäßig prüfen.