Sind Ladesäulen sicher? Was der BSI-Bericht bedeutet
Über 200.000 öffentliche Ladepunkte stehen inzwischen in Deutschland (Zahlen der Bundesnetzagentur) – und zum ersten Mal hat der Staat systematisch untersucht, wie sicher diese Technik eigentlich ist. Das Ergebnis des neuen BSI-Lageberichts zur IT-Sicherheit der öffentlichen Ladeinfrastruktur ist unbequem: Regeln gibt es, aber sie greifen längst nicht überall. Und ausgerechnet der Teil, der dich beim Laden direkt betrifft – das Bezahlen – ist besonders schwach abgesichert. Was heißt das konkret, und wie lädst du trotzdem sorgenfrei?
Was der BSI-Bericht bemängelt
Das Bundesamt für Sicherheit in der Informationstechnik (BSI, die IT-Sicherheitsbehörde des Bundes) hat gemeinsam mit dem Bundesministerium für Verkehr den ersten Lagebericht zur Ladeinfrastruktur vorgelegt. Der Befund: Standards wie ISO 15118 und OCPP (das Protokoll zwischen Ladesäule und Betreiber-Backend) haben die Sicherheit klar verbessert und entsprechen „in vielen Bereichen dem Stand der Technik". Moderne Verschlüsselung, Sperrlisten und Transportsicherung werden in der Praxis aber oft nur eingeschränkt umgesetzt – meist, um alte Systeme weiter kompatibel zu halten.
Am deutlichsten wird der Bericht bei drei Punkten: die Authentifizierung, die Bezahlung von Ladevorgängen und die Datensicherheit in der Kommunikation zwischen Auto, Säule und Backend seien „besonders schwach reguliert". Dazu kommt ein regulatorischer Flickenteppich – Vorgaben verteilen sich auf CRA, NIS-2, AFIR und die Ladesäulenverordnung, von denen viele auf Komponentenebene gar nicht verbindlich sind. Das BSI fordert deshalb einen „Paradigmenwechsel hin zu verpflichtendem Security-by-Design und Security-by-Default", strukturierte Schwachstellenforschung und einheitliche Prüfverfahren (BSI-Pressemitteilung zum Lagebericht).
Wie so ein Risiko aussieht, macht der Bericht an konkreten Angriffsflächen fest: manipulierte Ladevorgänge, abfließende Zahlungsdaten und im schlimmsten Fall koordinierte Abschalt-Angriffe auf ganze Ladeparks. Weil Säulen heute mit Auto, Backend, Zahlungsdienstleistern und Stromnetz vernetzt sind, kann eine Lücke an einer Stelle Folgen für weit mehr als einen einzelnen Ladepunkt haben. Genau deshalb dringt das BSI auf verbindliche Vorgaben statt freiwilliger Normen.
Musst du dir beim Laden jetzt Sorgen machen?
Kurze Antwort: kein Grund zur Panik am einzelnen Ladevorgang – aber ein guter Anlass, bewusster mit deinen Daten umzugehen. Die meisten im Bericht beschriebenen Angriffsszenarien zielen auf Betreiber, Backend-Systeme und im Extremfall aufs Stromnetz, nicht auf den einzelnen Fahrer an der Säule. Für dich zählt eine andere Frage: Wie viele Daten gibst du beim Laden überhaupt preis? Denn genau die Bezahl- und Zugangsdaten liegen in den Systemen, die der BSI als am schwächsten untersucht markiert. Je weniger davon irgendwo gespeichert ist, desto kleiner ist deine persönliche Angriffsfläche. Ein Restrisiko bleibt immer – aber du entscheidest selbst, wie viel Angriffsfläche du überhaupt bietest.
Warum Ad-hoc mit Karte hier klar im Vorteil ist
Ad-hoc-Laden heißt: einfach an die Säule fahren und direkt mit EC-/Kreditkarte oder Apple/Google Pay bezahlen – kontaktlos, ohne Vertrag, ohne anbietereigene App. Genau das ist unter Sicherheitsgesichtspunkten der sauberste Weg. Die Zahlung läuft über zertifizierte Bezahlterminals nach PCI-DSS (dem Sicherheitsstandard der Kreditkartenbranche), deine Kartennummer wird tokenisiert und nicht im Lade-Backend hinterlegt. Du legst kein Konto an, hinterlegst keine Zahlungsdaten in einer App und schleppst keine RFID-Ladekarte mit dir herum, die sich auslesen oder kopieren ließe.
Das ist keine Marketing-Behauptung, sondern schlicht weniger Datenpreisgabe. Vertrags- und App-Modelle drehen die Logik um: Jeder Account ist ein zusätzlicher Datensatz in genau den Backends, deren Absicherung der BSI bemängelt – und wer im In- und Ausland lädt, sammelt schnell ein halbes Dutzend Lade-Apps mit hinterlegten Zahlungsdaten an. Mehr Konten, mehr Angriffsfläche. Ehrlich bleibt: Auch kontaktloses Zahlen ist nicht komplett risikofrei, und eine Betreiber-App kann im Einzelfall ein paar Cent pro kWh günstiger sein. Aber du bezahlst dann Bequemlichkeit mit Daten und Lock-in – beim Ad-hoc-Laden läuft der sensibelste Schritt über die streng regulierte Banken-Infrastruktur statt über den Lade-Flickenteppich. Wie das im Detail funktioniert und was dabei zu beachten ist, steht in unserem Ratgeber zum Ad-hoc-Laden ohne App und Vertrag; wer wissen will, wie man ganz ohne Ladekarte laden kann, findet dort die Praxis dazu.
So findest du sichere Ad-hoc-Säulen mit LadeSofort
Der einzige echte Nachteil von Ad-hoc – der Preis ist an der Säule nicht immer vorab sichtbar – ist genau das, was unsere Live-Preis-Karte löst. Bei LadeSofort siehst du vor der Abfahrt, welche Ladepunkte in deiner Nähe frei sind, was die Kilowattstunde kostet und ob du dort direkt mit Karte zahlen kannst – ohne dich vorher irgendwo zu registrieren. Kein Account, keine hinterlegten Zahlungsdaten, keine App-Pflicht: Du suchst die passende Säule, fährst hin und zahlst kontaktlos wie früher an der Tankstelle. Ein Blick auf die Ladestationen in Berlin oder deiner eigenen Stadt zeigt, wie viele davon längst Ad-hoc-fähig sind. Wer einen Betreiber gezielt einordnen will, findet in der neutralen Betreiber-Übersicht die Fakten – ohne beworbene Partner-Deals.
Sicher laden: fünf einfache Regeln
- Wo möglich kontaktlos mit Karte oder Handy zahlen statt mit App-Konto oder RFID-Ladekarte.
- Vor dem Bezahlen kurz aufs Terminal schauen: lose Aufsätze oder sichtbare Manipulation am Kartenleser sind ein Warnsignal.
- Lade-Apps und Konten sparsam halten, starke Passwörter nutzen und Zahlungsdaten nicht in jeder App hinterlegen.
- Am Ladepark keine sensiblen Vorgänge über offene, ungesicherte WLANs abwickeln.
- Auffälligkeiten an der Säule dem Betreiber melden – das hilft allen, die nach dir laden.
Fazit
Der BSI-Bericht ist vor allem ein Auftrag an Politik und Betreiber: verbindliche Standards, mehr Prüfung, weniger Flickenteppich. Für dich als Fahrer ist die Lehre simpel – je weniger Konten und Daten du preisgibst, desto kleiner die Angriffsfläche. Ad-hoc-Laden mit Karte ist damit nicht nur der bequemste, sondern auch der datensparsamste Weg zu laden. Wie sich das preislich schlägt, zeigt unser Überblick, was Ad-hoc-Laden kostet.
Bildhinweis: Die Illustrationen dieses Beitrags wurden ganz oder teilweise mit KI erstellt.
Häufige Fragen
Sind öffentliche Ladesäulen gefährlich?
Für den einzelnen Ladevorgang besteht kein akuter Grund zur Sorge. Der BSI-Bericht beschreibt vor allem strukturelle Risiken bei Betreibern, Backend-Systemen und in der Regulierung. Wer datensparsam lädt – am besten kontaktlos per Karte statt mit vielen Konten – hält seine persönliche Angriffsfläche klein.
Ist Bezahlen per Kreditkarte an der Ladesäule sicher?
Kontaktloses Zahlen läuft über zertifizierte Bezahlterminals nach dem PCI-DSS-Standard der Kreditkartenbranche; die Kartennummer wird tokenisiert und nicht im Lade-Backend gespeichert. Das ist in der Regel sicherer, als Zahlungsdaten in mehreren Lade-Apps zu hinterlegen.
Können RFID-Ladekarten kopiert werden?
Ältere RFID-Ladekarten setzen teils auf schwach gesicherte Verfahren und lassen sich prinzipiell auslesen. Wer stattdessen ad-hoc mit Bank- oder Kreditkarte zahlt, umgeht dieses Risiko komplett, weil keine dauerhafte Ladekarte im Umlauf ist.
Was fordert der BSI-Bericht?
Das BSI fordert verbindliche Sicherheitsstandards nach dem Prinzip Security-by-Design und Security-by-Default, praxisnähere Schwachstellenforschung und einheitliche Prüfverfahren statt eines regulatorischen Flickenteppichs aus CRA, NIS-2, AFIR und Ladesäulenverordnung.