Maingau EinfachStromLaden
Die Maingau-App gefällt mit besonderen Features und transparenten Preisen. In der Sicherheitsbewertung ist sie jedoch Schlusslicht.
„EinfachStromLaden“von Maingau findet sich in der App-Sammlung vieler E-AutoFahrer, da sie gute Suchfunktionen bietet, aber auch einen gleichnamigen Ladetarif mit transparentem Preismodell. Dabei zahlen Energiekunden des bei Offenbach am Main ansässigen Versorgers 10 Cent pro kWh weniger als Normalnutzer. Laufende Fixkosten gibt es nicht, als Bezahlmittel werden Kreditkarte und SEPA-Einzug unterstützt. Selbst die Nutzung der teuren Ionity-Ladesäulen ist ein paar Cent günstiger als bei dem Schnellladeanbieter selbst – sofern man nicht ohnehin Sonderkonditionen als Fahrer einer der hinter Ionity stehenden Premiummarken genießt. Wer Kunde werden will, kann sich direkt in der App anmelden. Zum Informieren lässt sie sich aber auch ohne Vertrag nutzen.
Praktisch ist, dass die App neben der üblichen gefilterten Suche nach Ladepunkten auch eine echte Navigationsfunktion bietet. Die schlägt auch Ladesäulen auf der Route vor und orientiert sich grob an der Reichweite des hinterlegten E-Autos – von denen es im Übrigen auch mehrere zur Auswahl geben kann. Alternativ ist auch eine Übergabe an Google Maps beziehungsweise Apple Maps möglich. Ein weiteres gutes und im Testfeld einzigartiges Feature: Zu vielen Ladepunkten sind sogar Fotos hinterlegt.
Noch eine gute Besonderheit ist der Service-Kontakt per WhatsApp – neben den üblichen Optionen Telefon und E-Mail. Die Hilfetexte hingegen werden etwas lieblos per In-App-Browser einfach von der Maingau-Website angezeigt.
Bei der von umlaut vorgenommenen Sicherheitsbewertung ist die Maingau-App allerdings Schlusslicht. Verbesserungspotenzial haben die Experten vor allem beim Schutz gegen Identitätsdiebstahl und Rechteausweitung erkannt, aber auch in den anderen Kategorien ihrer Sicherheitstests.
Die von NewMotion übernommene Expertise zeigt sich in praxisgerechten Details. Auch die Sicherheit kann insgesamt überzeugen.
Nach der Übernahme des LadenkartenAnbieters NewMotion sind dessen RFIDKarten und -Chips sowie seine App im Angebot und der neuen Marke Shell Recharge aufgegangen. Informationen über die in sehr hoher Zahl verfügbaren Ladepunkte bietet die App auch ohne Anmeldung. Wer den von Shell angebotenen Ladetarif nutzen will, kann die dafür erforderliche RFID-Ladekarte oder- Schlüsselanhänger nach Anmeldung zum einmaligen Preis von 10 Euro bestellen. Als Bezahloption lässt sich jedoch nur ein Bankkonto (SEPA-Einzug) hinterlegen. Auch Kunden dieses Anbieters monieren die vor einiger Zeit erhöhten Preise – was aber für unsere App-Bewertung kein Testkriterium ist.
Die von NewMotion eingekaufte Expertise zeigt sich in nützlichen Details. So lässt sich bei der Preisabschätzung vor dem Laden auch einstellen, von welchem Batteriefüllstand („State of Charge“) bis zu welchem voraussichtlich geladen werden soll – zum
Beispiel von 10 auf 80 %. Auf dieser Basis überschlägt die App dann sowohl Ladedauer als auch voraussichtlichen Preis. Filterfunktionen, Echtzeitinfos und die Verwaltung mehrerer E-Autos sind alle komplett vorhanden. Zum Navigieren übergibt die App an Google Maps, Apple Maps oder die Navi-App von Here. Sehr gut ist auch die Berichtsfunktion zum Melden von Ladesäulenstörungen. In der Praxis traten aber zwei Probleme auf: In Ladeparks mit mehreren Ladepunkten bleibt die App eine exakte Identifikation des gewählten Anschlusses schuldig. Und bisweilen ließ sich das Laden nicht sauber über die App beenden.
In den von umlaut durchgeführten Sicherheitstests landet die Shell-App auf einem der oberen Plätze. Für die Maßnahmen gegen Identitätsdiebstahl erzielt sie gemeinsam mit Plugsurfing die höchste Punktzahl, bei der Absicherung des Quellcodes bleibt noch etwas Luft nach oben.
Bis zu 300 Punkte kann eine App für Funktionalität und Verwaltung der Ladevorgänge erhalten, bis zu 200 weitere für App-Bedienung, Bezahlung, Formales und Support/Hilfe. Die verbleibenden maximal 500 Punkte bewerten die Sicherheit. Dafür überprüfte umlaut die vier Kategorien Datenschutz, Verbindungssicherheit samt Verschlüsselung, Maßnahmen gegen Identitätsdiebstahl und Rechteausweitung sowie die Sicherheit des App-Quellcodes. Die untersuchten Angriffsszenarien orientieren sich an den Richtlinien zur sicheren Programmierung von Apps des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Open Web Application Security Project (OWASP). Viele Tests hat umlaut selbst entwickelt, und alle Ergebnisse wurden zur Kontrolle von zwei Ingenieuren verifiziert. Aus Sicherheitsgründen haben wir jedoch auf eine detaillierte Beschreibung der einzelnen Schwachstellen verzichtet, um etwaigen kriminellen Handlungen vorzubeugen. Wie gut die App-Hersteller den
Datenschutz umgesetzt haben, haben wir mit den meisten Punkten gewichtet. Geprüft wurde in dieser Kategorie, ob die Apps personenbezogene Daten wie Login- und Benutzerinformationen ausreichend geschützt im Smartphonespeicher ablegen. Wie gut der Datenfluss zwischen App
und Server abgesichert ist, war ebenfalls ein Testkriterium. Dabei wurde überprüft, ob die App aktuelle Verschlüsselungsmethoden nutzt und ob sie den gesamten Datenverkehr gesichert überträgt. Zudem wurde im Test der korrekte Umgang der App mit SSL-Zertifikaten untersucht. In der Kategorie Identitätsdiebstahl prüft umlaut, ob sich Autorisierungsmechanismen der Apps umgehen lassen. Kritisch wäre auch, wenn eine App keinen Schutz gegen Klonung besitzt. Angreifer könnten dann eine exakte Kopie der App erstellen, alle persönlichen Daten entnehmen und sich als Nutzer ausweisen. Der Quellcode kann ebenfalls Einfallstor für Angriffe sein. Darum wurde hier kontrolliert, ob die Komponenten von Drittanbietern sicher implementiert wurden und die App wichtige Dateien verschleiert ablegt.