Elektro

QR-Codes: Augen auf an der Ladesäule

Laden per Ladekarte ist in der Regel unproblematisch. Foto: BMW

QR-Codes können eine feine Sache sein. Sie machen das Leben leichter. Allerdings trifft dies auch auf Betrüger an der Ladesäule zu.

Wer ohne Fahrstromvertrag sein E-Auto an öffentlicher Infrastruktur lädt, sollte sich die Säule genau anschauen. Denn das aus anderen Lebensbereichen bekannte „Quishing“ schwappt mittlerweile auf die Ladestrom-Infrastruktur über. Wie genau funktioniert der Betrug? Und wie kann man sich schützen?


„Quishing“ ist eine spezielle Form des „Phishing“, des missbräuchlichen Abfischens von persönlichen Informationen. Besonderes Kennzeichen ist das Nutzen von QR-Codes, was durch den Tausch der ersten Buchstaben deutlich gemacht werden soll. QR-Codes sind mittlerweile weithin gebräuchlich – als Barcode-Alternative oder als Ersatz für ausgeschriebene Internet-Links. Denn hinter den mit der Handykamera dekodierbaren grafischen Mustern versteckt sich immer ein Internetinhalt.

QR-Code für Ad-hoc-Lader

Auch an Ladesäulen findet sich ein QR-Code. Unter dem verknüpften Link können Kunden sich beim sogenannten Ad-hoc-Laden für das Stromtanken anmelden und die Energie auch gleich bezahlen, wenn sie keinen Vertrag mit dem jeweiligen Ladesäulenbetreiber beziehungsweise E-Mobilitätsprovider haben oder nutzen wollen. Die Webseite fragt zu diesem Zweck neben Namen und Anschrift auch Konto- oder Kreditkartendaten ab. Eigentlich keine große Sache, wenn der QR-Code korrekt ist.

Kriminelle haben aber eine Möglichkeit entdeckt, mit manipulierten Codes Geld zu verdienen, wie unter anderem die Verbraucherzentrale und der ADAC warnen. Zahlen zu Taten und Tätern gibt es nicht. Aber der Betrug ist so simpel und die Wahrscheinlichkeit gefasst zu werden so gering, dass die Masche zunehmend an Bedeutung gewinnen dürfte.

Und so läuft sie ab: Die Betrüger überkleben den vom Ladesäulenbetreiber angebrachten Code mit einem eigenen. Je nach Machart und Geschick des Klebenden ist das mit dem bloßen Auge kaum zu erkennen. Erst recht nicht bei Nacht, Hektik oder schlechtem Wetter. E-Mobilitäts-Neulinge sind sowieso gefährdet. Statt auf die Seite des Ladestromverkäufers leitet der Link dann auf eine ähnlich aussehende Seite der Betrüger. Wer jetzt seine Kreditkartendaten eingibt, bekommt keinen Strom. Dafür aber eine überraschend teure Monatsabrechnung. Für den zweiten Ladeversuch werden die Kunden dann übrigens auf die korrekte Webseite weitergeleitet, was sie den anfänglichen Fehlversuch vergessen lässt.

Genaues hinschauen zu empfehlen

Der beste Schutz gegen diese Betrügerei ist, an unbekannten Säulen Vorsicht walten zu lassen. So sollte man sich den QR-Code vor dem Einscannen genau anschauen. Ist er direkt auf die Verkleidung der Säule aufgedruckt? Oder handelt es sich um einen Aufkleber, was die Wahrscheinlichkeit einer Manipulation stark erhöht? Auch ein Test mit dem Fingernagel kann hier Aufschluss bringen. Wer dem Code traut, sollte anschließend die Website genau in Augenschein nehmen. Neben Schreibfehlern oder falschen Grafiken verrät oftmals die URL, wenn es sich um eine Umleitung auf eine Betrüger-Seite handelt. Manchmal nutzen die Kriminellen nur leichte Buchstabendreher im Firmennamen oder kyrillische Lettern statt ähnlich aussehender lateinischer.

Einige neuere Ladesäulen sind technisch gegen Manipulationen geschützt. Dabei handelt es sich vor allem um Schnellladesäulen (DC), seltener um Normalladesäulen (AC). Als einer der wenigen Hersteller setzt Amperfied auch an AC-Anschlüssen dynamische QR-Codes ein, die auf dem Bildschirm dargestellt werden. Die E-Mobilitäts-Tochter des Druckmaschinenherstellers Heidelberg hat die Technik entwickelt, weil die europäische Ladesäulen-Richtlinie sie ursprünglich zur Pflicht für öffentliche Ladesäulen mit weniger als 50 kW Leistung machen wollte. Die Regelung wurde vor Einführung allerdings entschärft, um den Aufbau der Infrastruktur nicht weiter zu verteuern. Daher sind bis heute bei Normalladesäulen weiterhin statische QR-Codes erlaubt. Dynamische Säulen sind abseits von Schnellladern bislang eher die Ausnahme.

Am besten per App oder Ladekarte

Der sicherste Schutz vor Betrügern dürfte die Wahl einer anderen Zahlungsmöglichkeit sein, etwa per App oder Ladekarte. Aktuell ist dieser Weg häufig sogar günstiger als die Tarife für Spontan-Lader. Dank Roaming benötigt man auch nicht mit jedem einzelnen Ladesäulenbetreiber einen Vertrag, sondern nutzt im Idealfall ein oder zwei E-Mobilitätsprovider, die mit dem jeweiligen Ladesäulen-Unternehmen abrechnen. In der Regel sind das große Energieversorger oder immer häufiger auch die Hersteller des jeweils gefahrenen E-Autos. Bei einem großen Test der Beratungsagentur „E-Mobility Excellence“ schnitt unter den Autohersteller-Verträgen kürzlich der „Me Charge L“-Dienst von Mercedes als Preis-Leistungs-Sieger und Gesamtsieger mit der Note „sehr gut“ am besten ab. Unter den freien Anbietern erhielten die Angebote von EnBW („Mobility+ Ladetarif M“), Shell („Recharge“), Elli („Drive Highway“) und Logpay („Charge&Fuel Pro“) ein „sehr gut“. Der Markt ist allerdings aktuell noch sehr dynamisch, so dass sich im Einzelfall ein genauer Vergleich lohnt.

Wer an der Ladesäule meint, eine Quishing-Falle entdeckt zu haben, sollte umgehend die Polizei informieren. Gleiches gilt, wenn man schon hineingetappt ist. Dann sollte auch sofort die Bank informiert und die Karte per Sperr-Notruf 116116 deaktiviert werden. (SP-X)

Über den Autor

SP-X

SpotPress - abgekürzt SP-X - ist eine auf Nachrichten aus der Autoindustrie spezialisierte Agentur.

Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn Sie diese Website ohne Änderung der Cookie-Einstellungen verwenden oder auf "Akzeptieren" klicken, erklärst Sie sich damit einverstanden.

Schließen