asvin labs wurde im Rahmen des CYSSDE Open Call 2 der Europäischen Kommission für Cybersecurity Penetrationstests der Ladeinfrastruktur von Elektrofahrzeugen unter Verwendung von KI-gestützter Sicherheitsautomatisierung ausgewählt und beauftragt.
Wir werden mit dem Anbieter der EV-Ladeplattform ChargeIQ zusammenarbeiten, um unter Einsatz unserer Cybersicherheitsexpertise ein intensives Penetrationstestverfahren für die EV-Ladeinfrastruktur zu entwerfen, zu implementieren und durchzuführen. Ziel des Auftrags ist es, Schwachstellen zu identifizieren, Berichte über Kompromittierungsindikatoren zu erstellen und Anbieter von Ladeinfrastrukturen für Elektrofahrzeuge dabei zu unterstützen, Schwachstellen zu beheben und die Cybersicherheit ihrer Dienste zu verbessern. Das Konsortium aus asvin und ChargeIQ wurde im Rahmen des CYSSDE Open Calls 2 als eines von zehn europäischen Projekten aus über 120 Bewerbern ausgewählt.

Die Ladeinfrastruktur für Elektrofahrzeuge (EV) wurde aufgrund der unzureichenden Cybersicherheitsmaßnahmen der Betreiber als äußerst anfällig eingestuft. Im Jahr 2024 meldete das niederländische Institut für die Offenlegung von Sicherheitslücken kritische Schwachstellen in einem Produkt für EV-Ladestationen. Ladegeräte für Elektrofahrzeuge (EVSE) müssen die Anforderungen der Critical Reliability Assessment (CRA) und einer Cybersicherheitszertifizierung nach den European Common Criteria (EUCC) erfüllen. Unser PenTest4CI-Projekt unterstützt EVSE-Hersteller und Betreiber von Ladestationen(CPOs) durch die Durchführung umfassender Penetrationstests und Schwachstellenanalysen an der Ladeinfrastruktur für Elektrofahrzeuge, um die Einhaltung der NIS2 und des Cyber Resilience Act sicherzustellen.

asvin labs wird sein Fachwissen im Bereich Penetrationstests und Cybersicherheit in PenTest4CI einbringen und dabei mit ChargeIQ, einem Anbieter von Ladeinfrastruktur, zusammenarbeiten. Dank unserer Kenntnisse über die NIS2/CRA-Konformität und den EVSE/CPO-Bereich wird PenTest4CI wertvolle, umsetzbare Erkenntnisse und Dienstleistungen liefern, die zur Sicherung der Ladeinfrastruktur für Elektrofahrzeuge beitragen.

Das Hauptziel des CYSSDE-Projekts ist die Durchführung umfassender, KI-gestützter Penetrationstests und Schwachstellenanalysen der Ladeinfrastruktur, um die Einhaltung von NIS2 und dem CRA zu gewährleisten. Der Projektplan umfasst den Aufbau einer kontrollierten Laborumgebung, die die reale Ladeinfrastruktur nachbildet. Dies ermöglicht detaillierte Sicherheitsbewertungen, Analysen der Bedrohungslage, die Erforschung von Angriffsvektoren, die Identifizierung von Schwachstellen und Empfehlungen für Strategien zu deren Behebung. Das Ergebnis der Tests wird ein umfassender Penetrationstestbericht sein, in dem kritische Ressourcen identifiziert, potenzielle Bedrohungen bewertet und Bedrohungsakteure sowie spezifische Bedrohungsszenarien detailliert beschrieben werden. Darüber hinaus wird das CYSSDE-Projekt KMU umsetzbare Sicherheitsrichtlinien an die Hand geben und Benchmarks festlegen, um ihnen zu helfen, die sich ständig weiterentwickelnden regulatorischen Anforderungen zu erfüllen. Dies wird die Sicherheit der Ladeinfrastruktur verbessern und Hersteller und CPOs auf die EUCC-Cybersicherheitszertifizierung vorbereiten.

Durch umfangreiche Penetrationstests und simulierte Cyberangriffe werden kritische Sicherheitslücken in kommerziellen EVSEs identifiziert, darunter solche in Bezug auf Hardware, Firmware, Kommunikationsprotokolle, Backend-Systeme und Cloud-Infrastruktur. Ein detaillierter Penetrationstestbericht dokumentiert kritische Vermögenswerte, Schwachstellen, Bedrohungsakteure, Angriffsvektoren und Angriffsszenarien und liefert maßgeschneiderte Strategien zur Risikominderung, um die Sicherheit der Ladeinfrastruktur zu verbessern. Durch die Beseitigung dieser Sicherheitslücken unterstützt das Projekt EVSE-Hersteller und CPOs bei der Einhaltung der NIS2-, CRA- und EUCC-Zertifizierung. Darüber hinaus bietet es KMUs, die oft am anfälligsten für Cyberbedrohungen sind, klare Richtlinien und einen Sicherheitsbenchmark, der ihnen hilft, sich in den sich ständig weiterentwickelnden regulatorischen Anforderungen zurechtzufinden. Langfristig wird dies die Cybersicherheitsreife des EV-Ladeökosystems verbessern, Angriffsflächen reduzieren und die Widerstandsfähigkeit gegenüber sich weiterentwickelnden Bedrohungen stärken.

Unser Penetrationstest-Ansatz kombiniert reale und KI-erweiterte digitale Zwillinge, um eine umfassende Sicherheitsbewertung zu ermöglichen.Wir waren ein Labor einrichten, in dem kommerzielle EVSEs verschiedener Anbieter, Testbed-Hardware (Rasphberry Pis) als emulierte EVSEs und Docker-Container für virtualisierte Angriffssimulationen integriert sind. Dieses hybride, KI-gestützte Framework ermöglicht die kontrollierte, automatisierte Erprobung verschiedener Angriffsvektoren und identifiziert Schwachstellen, die bei herkömmlichen Bewertungen möglicherweise übersehen werden. Wir nutzen fortschrittliche Cybersicherheitsmethoden, darunter graphentheoretisches Cyber-Risikomanagement, Bedrohungsmodellierung und KI-gestütztes  Cyber Threat Intelligence, um Angriffsflächen zu analysieren.

Eine wichtige Innovation ist die Automatisierung von Penetrationstests mithilfe von Skripten und KI-gesteuerten Sicherheitsanalyse-Tools, um Schwachstellen in EVSE-Systemen effizient zu identifizieren. Darüber hinaus werden Red-Team-Übungen und Capture-the-Flag-Simulationen (CTF) die Widerstandsfähigkeit der EV-Ladeinfrastruktur unter realen Bedingungen testen. Unsere Methodik integriert Risikobewertungsmodelle, die mit den Compliance-Anforderungen von CRA, CER und NIS2 übereinstimmen.Dadurch wird sichergestellt, dass alle identifizierten Schwachstellen dem entsprechenden regulatorischen Rahmen zugeordnet und effektiv behoben werden können.

Das CYSSDE-Projekt verbessert nicht nur die Sicherheit von EVSE-Systemen, sondern hilft auch KMU dabei, die Herausforderungen der Einhaltung neuer Cybersicherheitsvorschriften zu meistern. KMU, wie z. B. Hersteller von Ladestationen, verfügen oft nicht über die Ressourcen und das Fachwissen, um die strengen Sicherheitsanforderungen der CRA-, CER- und NIS2-Richtlinien zu erfüllen. asvin labs wird diesen Unternehmen Best Practices, klare Richtlinien und Sicherheitsbenchmarks zur Verfügung stellen, um ihnen zu helfen, diese regulatorischen Herausforderungen zu meistern und ihre Cybersicherheitsresilienz zu stärken.

Durch die Bereitstellung eines umfassenden Penetrationstestberichts mit detaillierten Bedrohungsszenarien, Risikobewertungen und Empfehlungen zur Risikominderung wird asvin labs die Cybersicherheit des EV-Ladeökosystems erheblich verbessern. Unsere Ergebnisse werden CPOs dabei helfen, ihre Produkte zu sichern, und gleichzeitig zur Entwicklung umfassenderer Cybersicherheitsstandards für kritische Infrastrukturen beitragen.Damit wird ein neuer Maßstab für Sicherheitstests im EV-Sektor gesetzt, der sicherstellt, dass die Elektromobilität sicher und widerstandsfähig bleibt und den sich weiterentwickelnden Cybersicherheitsvorschriften entspricht.