„Quishing“: Wenn man an öffentlichen Ladesäulen lädt, sollte man Vorsicht walten lassen, denn es könnten Betrüger lauern.

Man kennt das ja schon: In Zeiten der Digitalisierung versuchen Betrüger auf unterschiedlichsten Wegen Verbraucher abzuzocken. Nun muss man auch als Elektroauto-Nutzer/in aufpassen, wenn man an öffentlichen Säulen Fahrstrom lädt. Denn das aus anderen Lebensbereichen bekannte „Quishing“ schwappt mittlerweile auf die Ladestrom-Infrastruktur über. Wie genau funktioniert der Betrug? Und wie kann man sich schützen?

„Quishing“ ist eine spezielle Form des „Phishing“, des missbräuchlichen Abfischens von persönlichen Informationen. Besonderes Kennzeichen ist das Nutzen von QR-Codes, was durch den Tausch der ersten Buchstaben deutlich gemacht werden soll. QR-Codes sind mittlerweile weithin gebräuchlich – als Barcode-Alternative oder als Ersatz für ausgeschriebene Internet-Links. Denn hinter den mit der Handykamera dekodierbaren grafischen Mustern versteckt sich immer ein Internetinhalt.

Auch an Ladesäulen findet sich ein QR-Code. Unter dem verknüpften Link können Kunden sich beim sogenannten Ad-hoc-Laden für das Stromtanken anmelden und die Energie auch gleich bezahlen, wenn sie keinen Vertrag mit dem jeweiligen Ladesäulenbetreiber beziehungsweise E-Mobilitätsprovider haben oder nutzen wollen. Die Webseite fragt zu diesem Zweck neben Namen und Anschrift auch Konto- oder Kreditkartendaten ab. Eigentlich keine große Sache, wenn der QR-Code korrekt ist.

Quishing: Der QR-Code wird überklebt

Kriminelle haben aber eine Möglichkeit entdeckt, mit manipulierten Codes Geld zu verdienen, wie unter anderem die Verbraucherzentrale und der ADAC warnen. Zahlen zu Taten und Tätern gibt es nicht. Aber der Betrug ist so simpel und die Wahrscheinlichkeit gefasst zu werden so gering, dass die Masche zunehmend an Bedeutung gewinnen dürfte.

Und so läuft sie ab: Die Betrüger überkleben den vom Ladesäulenbetreiber angebrachten Code mit einem eigenen. Je nach Machart und Geschick des Klebenden ist das mit dem bloßen Auge kaum zu erkennen. Erst recht nicht bei Nacht, Hektik oder schlechtem Wetter. E-Mobilitäts-Neulinge sind sowieso gefährdet. Statt auf die Seite des Ladestromverkäufers leitet der Link dann auf eine ähnlich aussehende Seite der Betrüger. Wer jetzt seine Kreditkartendaten eingibt, bekommt keinen Strom. Dafür aber eine überraschend teure Monatsabrechnung. Für den zweiten Ladeversuch werden die Kunden dann übrigens auf die korrekte Webseite weitergeleitet, was sie den anfänglichen Fehlversuch vergessen lässt.

Der beste Schutz gegen diese Betrügerei ist, an unbekannten Säulen Vorsicht walten zu lassen. So sollte man sich den QR-Code vor dem Einscannen genau anschauen. Ist er direkt auf die Verkleidung der Säule aufgedruckt? Oder handelt es sich um einen Aufkleber, was die Wahrscheinlichkeit einer Manipulation stark erhöht? Auch ein Test mit dem Fingernagel kann hier Aufschluss bringen. Wer dem Code traut, sollte anschließend die Website genau in Augenschein nehmen. Neben Schreibfehlern oder falschen Grafiken verrät oftmals die URL, wenn es sich um eine Umleitung auf eine Betrüger-Seite handelt. Manchmal nutzen die Kriminellen nur leichte Buchstabendreher im Firmennamen oder kyrillische Lettern statt ähnlich aussehender lateinischer.

Vorsicht an unbekannten Säulen!

Einige neuere Ladesäulen sind technisch gegen Manipulationen geschützt. Dabei handelt es sich vor allem um Schnellladesäulen (DC), seltener um Normalladesäulen (AC). Als einer der wenigen Hersteller setzt Amperfied auch an AC-Anschlüssen dynamische QR-Codes ein, die auf dem Bildschirm dargestellt werden. Die E-Mobilitäts-Tochter des Druckmaschinenherstellers Heidelberg hat die Technik entwickelt, weil die europäische Ladesäulen-Richtlinie sie ursprünglich zur Pflicht für öffentliche Ladesäulen mit weniger als 50 kW Leistung machen wollte. Die Regelung wurde vor Einführung allerdings entschärft, um den Aufbau der Infrastruktur nicht weiter zu verteuern. Daher sind bis heute bei Normalladesäulen weiterhin statische QR-Codes erlaubt. Dynamische Säulen sind abseits von Schnellladern bislang eher die Ausnahme.

Der sicherste Schutz vor Quishing dürfte die Wahl einer anderen Zahlungsmöglichkeit sein, etwa per App oder Ladekarte. Aktuell ist dieser Weg häufig sogar günstiger als die Tarife für Spontan-Lader. Dank Roaming benötigt man auch nicht mit jedem einzelnen Ladesäulenbetreiber einen Vertrag, sondern nutzt im Idealfall ein oder zwei E-Mobilitätsprovider, die mit dem jeweiligen Ladesäulen-Unternehmen abrechnen.  In der Regel sind das große Energieversorger oder immer häufiger auch die Hersteller des jeweils gefahrenen E-Autos. Bei einem großen Test der Beratungsagentur „E-Mobility Excellence“ schnitt unter den Autohersteller-Verträgen kürzlich der „Me Charge L“-Dienst von Mercedes als Preis-Leistungs-Sieger und Gesamtsieger mit der Note „sehr gut“ am besten ab. Unter den freien Anbietern erhielten die Angebote von EnBW („Mobility+ Ladetarif M“), Shell („Recharge“), Elli („Drive Highway“) und Logpay („Charge&Fuel Pro“) ein „sehr gut“. Der Markt ist allerdings aktuell noch sehr dynamisch, so dass sich im Einzelfall ein genauer Vergleich lohnt.

Wer an der Ladesäule meint, eine Quishing-Falle entdeckt zu haben, sollte umgehend die Polizei informieren. Gleiches gilt, wenn man schon hineingetappt ist. Dann sollte auch sofort die Bank informiert und die Karte per Sperr-Notruf 116116 deaktiviert werden. Holger Holzer/SP-X