RUB » RUBIN » 

Sie sind hier

Ich weiß, wo du letzten Sommer geladen hast

Ich weiß, wo du letzten Sommer geladen hast

RUB-Forscher entwickeln datenschutzfreundliche Lösungen zum Laden von E-Autos

von Tilman Frosch  

2. Mai 2014

 

Am Montag im Frankfurter Nordend, ein paar Tage später im Bankenviertel, am Wochenende in Heidelberg – das Bewegungsprofil eines Bankmitarbeiters. Es lässt sich mühelos ermitteln, weil er ein Elektroauto nutzt; die Ladesäulen verraten ihn. Damit dieses Szenario nicht Alltag wird, entwickeln Forscher am Horst Görtz Institut für IT-Sicherheit ein sicheres und datenschutzfreundliches Verfahren, sodass Halter ihre Elektroautos aufladen können – ohne nachverfolgbar zu werden.

Beim Laden eines Elektroautos laufen Nutzer Gefahr, eine Datenspur zu hinterlassen.Per Chipkarte identifiziert sich der Nutzer an der Ladesäule. So gelangen standort- und personenbezogene Daten ins Abrechnungssystem.Tilman Frosch sorgt für Datenschutz beim Aufladen von Elektroautobatterien.Ladesäule auf dem RUB-CampusEin Elektroauto zu laden ist einfach.

Im Jahr 2011 veröffentlichte „Die ZEIT“ das aus Handydaten extrahierte Bewegungsprofil des Grünenpolitikers Malte Spitz und rückte damit ein schwerwiegendes Manko dieser Technik in das Licht der Öffentlichkeit. Jeder Handynutzer hinterlässt eine Datenspur und wird dadurch nachverfolgbar. Das Gleiche könnte auch Nutzern von Elektroautos drohen. Dabei sieht alles so einfach aus: Chipkarte an die Ladesäule halten oder einfach nur den Stecker einstecken (Abb. 1). Ein Elektroauto zu laden ist leicht und nach Plänen der Bundesregierung ab 2020 Alltag für mindestens eine Million Menschen. Bei jedem Ladevorgang laufen im Hintergrund jedoch komplexe Prozesse ab; es wird gespeichert, wann und wo der Vorgang stattgefunden hat und mit welchem Kunden er abgerechnet wird – ein Datenschutzrisiko. Elektroautos werden viel häufiger geladen, als konventionelle Autos betankt, denn es bekommt der teuren Fahrzeugbatterie schlecht, sie vollständig zu entladen. Deshalb raten E-Auto-Verkäufer ihren Kunden zu laden, wann immer es möglich ist.

Abb. 1

Per Chipkarte identifiziert sich der Nutzer an der Ladesäule. So gelangen standort- und personenbezogene Daten ins Abrechnungssystem. © RUBIN, Foto: Nelle

Die Erfahrung zeigt, dass zu spät erkannte Probleme, wie die Datenspuren von Handynutzern, ihre Ursache oft tief im Design einer Technologie haben. Daher ist es wichtig, dass in neuen Technikfeldern, wie der Elektromobilität, Datenschutz und Datensicherheit von Anfang an Teil des Designs ist. Im Projekt „SecMobil“ erforschen wir sichere Lösungen für die Elektromobilität. Ein wichtiger Aspekt ist hierbei eine datenschutzfreundliche Ladeinfrastruktur. Ähnlich wie beim Roaming im Mobilfunk werden Kunden an Ladestationen verschiedener Anbieter laden können, die ihre Kosten über eine Verrechnungsstelle für den Kunden transparent ausgleichen.

Am einfachsten wäre es, wenn die Kunden schlicht anonym wären. Sie könnten die Energie für ihr Elektroauto mit Bargeld bezahlen, hinterließen keine Datenspur und niemand müsste etwas verrechnen, da das Geld direkt bei dem Betreiber landet, der auch den Strom geliefert hat. Bargeldlogistik verursacht jedoch Kosten für den Ladesäulenbetreiber. Stehen die Ladestationen weit verteilt im öffentlichen Raum, gibt es keinen zentralen Abholpunkt für einen Geldtransport. Stattdessen müsste jede Station einzeln angefahren werden. Diese Kosten können vermieden werden, wenn Kunden sich einfach an der Ladesäule per Chipkarte ausweisen und am Ende des Monats eine Rechnung erhalten. Denn Infrastruktur, um Rechnungen zu stellen, ist bei jedem Energieversorger bereits vorhanden. Daher sind die Kunden im Allgemeinen bekannt, mit Namen und Anschrift.

Abb. 2

Tilman Frosch sorgt für Datenschutz beim Aufladen von Elektroautobatterien. © RUBIN, Foto: Nelle

Wenn der Kunde schon nicht anonym sein kann, kann die Ladestation anonym sein? Unser Ziel ist es, Abrechnungsdaten authentisch zu übertragen und zu speichern, ohne dass der Betreiber nachvollziehen kann, wo der Ladevorgang stattgefunden hat. Unsere Werkzeuge dafür sind kryptografische Methoden, also schnelle Verschlüsselungstechniken und moderne digitale Signaturen (Abb. 2).

Dabei müssen wir auch juristische Aspekte beachten. Wenn ein Nutzer etwa seine Rechnung vor Gericht anficht, sind einige standortbezogene Daten, wie zum Beispiel die Zählernummer, notwendig, um den Streit zu klären. Mit Hilfe dieser Daten lässt sich herausfinden, ob das Energiemessgerät in der Ladesäule korrekt geeicht war und den Verbrauch des Kunden richtig erfasst hat. Wenn unser System also für den praktischen Einsatz taugen soll, müssen wir Datenschutz, Datensicherheit und gesetzliche Vorgaben unter einen Hut bringen. Hierfür kooperieren wir mit unseren Projektpartnern vom Institut für Berg- und Energierecht sowie unseren Kollegen aus der juristischen Fakultät, die sich mit IT-Recht beschäftigen.

Ein wichtiger juristischer Aspekt ist, dass der Ladesäulenbetreiber nachweisen können muss, dass er einem Kunden eine bestimmte Menge Energie verkauft hat. Um einen solchen Nachweis zu liefern und sicherzustellen, dass eine Nachricht oder ein Datensatz nicht verändert wurde, nutzt man heute oft digitale Signaturen. Wer eine solche Signatur verwendet, bestätigt auch, dass er wirklich der Absender ist. Um zu beweisen, dass die Abrechnungsdaten korrekt sind, könnte eine öffentliche Ladesäule also eine digitale Signatur mitschicken, wenn sie die Daten an den Betreiber übermittelt. Solange es nicht zum Rechtsstreit kommt, muss der Betreiber jedoch gar nicht wissen, welche Säule die Abrechnungsdaten generiert hat. Er benötigt eigentlich nur den Nachweis, dass irgendeine berechtigte Säule korrekte Daten gesendet hat.

Im Werkzeugkasten kryptografischer Methoden finden sich neben konventionellen digitalen Signaturen auch Gruppensignaturverfahren. Bei diesen Verfahren existieren Gruppen von berechtigten Absendern. Es kann jedoch dabei nicht unterschieden werden, welches berechtigte Gruppenmitglied, also welche Ladesäule, die Signatur erstellt hat. Um Missbrauch aufklären zu können, existiert in vielen Gruppensignaturverfahren eine trusted third party, ein sogenannter Opener, den man sich als eine Art Notar vorstellen kann. Nur dieser Opener ist in der Lage, einen besonders geschützten Teil der Signatur zu öffnen. Dieser Teil enthält den Namen des tatsächlichen Gruppenmitglieds, also der Ladesäule, die eine bestimmte Signatur erstellt hat.

Abb. 3

Sicher, datenschutzfreundlich und für den Kunden komfortabel: Das System der RUB-Forscher ermöglicht es den Kunden, Ladesäulen unterschiedlicher Stromanbieter zu nutzen. Die Daten für die Rechnung werden über das Tor-Netzwerk zur Abrechnungsstelle gesandt. Eine digitale Signatur gewährleistet dabei, dass die Daten echt sind. Da es sich um eine Gruppensignatur handelt, kann der Kunde nicht direkt einer bestimmten Ladesäule zugeordnet werden. © RUBIN

Für unser System (Abb. 3) wählten wir eXtremely Small Group Signatures (XSGS). XSGS-Signaturen benötigen wenig Speicherplatz, und das Verfahren ist relativ schnell. Wir haben XSGS so modifiziert, dass sie kompatibel mit den rechtlichen Anforderungen sind: Standortbezogene Daten, wie zum Beispiel die Zählernummer, werden durch eine kleine Änderung in den besonderen Teil der Signatur mit einbezogen, den nur der Opener entschlüsseln kann. So sind sie einerseits kryptografisch stark geschützt, andererseits ist es mithilfe des Openers möglich, Dispute um Abrechnungsdaten rechtsverbindlich zu lösen.

Abb. 4

So funktioniert das Tor-Netzwerk, ein sogenanntes Onion Routing-System. © RUBIN

Die Datenübertragung von der Ladestation zur Clearingstelle wird durch eine beweisbar sichere Variante des Verschlüsselungsprotokolls TLS geschützt. Damit die Anonymität der Ladestation nicht auf der Netzwerkebene ausgehebelt wird, nutzen wir das Tor-Netzwerk (Abb. 4), um den Absender einer Nachricht zu verschleiern.

Für die Kunden funktioniert ein solches System ähnlich wie der Einzelverbindungsnachweis bei der Telefonrechnung: Im Normalfall sind Orte der einzelnen Ladevorgänge dem Energieversorger nicht bekannt, mit Einverständnis des Kunden oder auf richterliche Anordnung können die vollständigen Daten einzelner Vorgänge offengelegt werden.

Unser Verfahren existiert momentan als früher Prototyp. Auch die Ladeinfrastruktur für Elektrofahrzeuge steckt derzeit noch weltweit in den Kinderschuhen – eine gute Gelegenheit, Datenschutz und Datensicherheit direkt mitzudenken.

TLS: Transport Layer Security

Das Sicherheitsprotokoll Transport Layer Security (TLS) wird beispielsweise zum Schutz von Transaktionen im Onlinebanking verwendet. Ist eine HTTP-Verbindung durch TLS geschützt, zeigt der Webbrowser meist ein kleines Schloss in der Adresszeile. Die hier verwendete Variante von TLS (TLS-DHE) bietet sehr starke Sicherheitsgarantien. In der Praxis sind derzeit häufig noch schwächere Varianten von TLS im Einsatz, TLS-DHE findet jedoch zunehmend Verbreitung.

Onion Routing mit dem Tor-Netzwerk

Das Tor-Netzwerk ist derzeit das populärste System von sogenannten. Vereinfacht funktioniert so: Herr A möchte zum Beispiel dem Kartellamt einen anonymen Tipp geben. Er steckt seine Mitteilung in einen Umschlag und adressiert diesen an das Kartellamt. Diesen Umschlag und eine Bitte um Weiterleitung steckt er in einen weiteren Umschlag und adressiert ihn an Frau D. Diesen Umschlag (und eine Bitte um Weiterleitung) steckt er in einen Umschlag, adressiert an Herrn C. Er wiederholt das Prozedere ein weiteres Mal mit einem Umschlag, adressiert an Frau B. Frau B erhält nun die Sendung, packt sie aus und verfährt wie von A erbeten, indem sie den darin enthaltenen Brief weiterleitet. Ebenso verfährt Herr C, der den Brief von B erhalten hat. Am Ende sendet Frau D den Brief ans Kartellamt. Da jeder Teilnehmer nur seinen Vorgänger und Nachfolger kennt, bleibt der Absender dem Empfänger verborgen. Statt Briefumschlägen nutzen Netzwerke von Onion Routern eine starke Verschlüsselung, die nur der jeweilige Adressat öffnen kann.

Kontakt zum Fachbereich

Tilman Frosch
Lehrstuhl für Systemsicherheit
Horst Görtz Institut
Ruhr-Universität Bochum
44780 Bochum
Tel. 0234/32-29363
E-Mail: tilman.frosch@rub.de

Download hochauflösender Bilder

Markieren Sie die gewünschten Bilder und akzeptieren Sie unsere Nutzungsbedingungen.
Der Download der gewählten Bilder erfolgt als ZIP-Datei.

Nutzungsbedingungen
Die Verwendung der Bilder ist nur im Kontext der Berichterstattung zu
RUBIN – Wissenschaftsmagazin der RUB und unter Angabe der entsprechenden Copyrights für die Presse frei.



Ich akzeptiere die Nutzungsbedingungen.