Noch in diesem Jahr soll der Einbau intelligenter Stromzähler in Deutschland Pflicht werden. Doch bisher gibt es nicht genügend Anbieter. Während die Bedenken der Datenschützer ausgeräumt wurden, birgt der Einsatz der Geräte weitere Gefahren.
Stuttgart - Es hat schon den ein oder anderen Skandal um intelligente Stromzähler gegeben: Mal sammelten sie ungeschützt massenhaft Daten, mal standen sie im Verdacht, es Hackern besonders leicht zu machen. In diesem Jahr sollen die intelligenten, digitalen Messsysteme – sogenannte Smart Meter – Pflicht in Deutschland werden. Hintergrund ist die Umstellung auf erneuerbare Energien, die nicht gleichmäßig vorhanden sind und deren Speicherung aufwendig ist. Deshalb wäre es ideal, wenn Verbraucher den Strom möglichst dann nutzen, wenn gerade viel davon vorhanden ist. Smart Meter sollen dafür den Stromverbrauch in einer feineren Taktung messen können, so dass die Energieanbieter ihre Preise flexibel gestalten können: Ist gerade viel Strom vorhanden, ist er günstiger, herrscht hingegen Flaute, müssen Verbraucher mehr bezahlen.
Wie sicher sind die Gateways vor Hackerangriffen?
Diese feinere Taktung hat in der Vergangenheit allerdings Bedenken rund um die Privatsphäre hervorgerufen. Forscher der Fachhochschule Münster um den Informatiker Ulrich Greveler hatten beispielsweise 2011 gezeigt, wie anhand der Daten eines intelligenten Stromzählers auf den Film geschlossen werden kann, den die Bewohner eines Hauses gerade ansahen. Der Stromzähler, der in einem normalen Haushalt installiert war, hatte die Verbrauchsdaten alle zwei Sekunden an das Rechenzentrum des Anbieters geschickt. Aus den Daten des Kundenprofils konnten die Forscher den Fernseher extrahieren und aus dem für jeden einzelnen Film typischen Muster aus hellen und dunklen Szenen berechnen, was im Fernsehen lief. Dem ist nun ein Riegel vorgeschoben worden: Die Zertifizierung für die neuen Geräte sieht vor, dass diese als kleinste Einheit Zählerstände im 15-Minuten-Takt übertragen dürfen.Hacker kommen auch nicht mehr so leicht an die Daten, wie Greveler bestätigt: „Die Gateways, also die Verbindungsstellen zum Internet, unterliegen aufwendigen technischen Richtlinien.“ Das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) habe tendenziell eher „zu viel verlangt“ – jedenfalls nicht zu wenig. Das sei vermutlich auch der Grund, weshalb sich die Zertifizierung hinzieht und auch die erforderlichen drei Anbieter noch nicht auf dem Markt sind: Die Unternehmen arbeiten nach wie vor an der Technologie, die unter anderem nur verschlüsselte und signierte Daten zulassen darf, erklärt Greveler, der heute an der Hochschule Rhein-Waal lehrt: „Die Gateways sind sicherer als gut gesicherte Unternehmensnetzwerke.“
Der Stromverbrauch eines Landes ist komplett manipulierbar
David Elze wiederum will sich auf eine solche Aussage nicht festlegen: „Eine Zertifizierung sagt nichts darüber aus, ob ein Hack nicht doch möglich ist.“ Elze und seine Kollegen vom Unternehmen Code-White in Ulm sind sogenannte White Hacker: Sie hacken Unternehmen in deren Auftrag, um zu sehen, ob auch tatsächlich keine Sicherheitslücken vorhanden sind. „Man sieht erst in der Praxis, wie sicher Systeme tatsächlich sind.“
Es gibt aber einige andere, naheliegendere Sicherheitslücken – die größte unter ihnen: der Mensch. Die Zertifizierung sieht zwar vor, dass nur der Administrator mit dem Smart-Meter-Gateway kommunizieren beziehungsweise diesen konfigurieren darf. Aber in dieser Administratorenrolle sind meist Unternehmen – also verschiedene Mitarbeiter, kein einzelner. „Unternehmen sind lebendige Einheiten, da kann es zu Schwachstellen kommen“, sagt Greveler – beispielsweise durch schlecht ausgebildete oder nachlässige Mitarbeiter. „Dem Administrator kommt eine Schlüsselrolle zu.“
Dieser soll schließlich auch die sogenannten unterbrechbaren Verbrauchseinrichtungen kontrollieren: die Geräte, von denen Verbraucher angegeben haben, dass sie im Falle eines Engpasses für eine gewisse Zeit abgeschaltet werden dürfen. „Wenn dort ein Angreifer säße, könnte er eine Konfiguration verursachen, mit der viele Verbraucher gleichzeitig viel Strom nutzen oder andersherum.“ Das könnte zu einem großflächigen Blackout führen, der ein smartes Stromnetz nachhaltig aus dem Gleichgewicht bringen kann. Tagelange Stromausfälle könnten die gefährliche Folge sein.
Absurde Auswirkungen von Amazons Sprachschnittstelle
Und es gibt eine ganz andere Schwachstelle, die von der aktuellen Zertifizierung völlig unberührt ist: das vernetzte Heim an sich. Der Markt für Smarthome-Geräte wie Amazons Echo mit der Sprachschnittstelle Alexa oder Google Home wird von großen Unternehmen in den USA bestimmt. „Diese umgehen die hiesige Sicherheitsinfrastruktur natürlich“, sagt Greveler. Dennoch steuern sie teilweise Hausgeräte über das Internet. „Wenn man diese Geräte massenhaft als Hacker kontrollieren würde, könnte man dadurch auch den Stromverbrauch in einem Land manipulieren.“ Greveler bezeichnet die Geräte als „Bypass-Infrastruktur“, die wir keinesfalls aus den Augen verlieren sollten – zumal der Markt zu Monopolisierung neige: „Das ist die relevantere Gefahr als der Smart-Meter-Gateway, zumindest für die nächsten zehn Jahre.“
Dass die benannten Risiken gar nicht so abwegig sind, zeigte ein US-Fernsehmoderator versehentlich. Er berichtete über ein Mädchen, das über Amazons Alexa ein Puppenhaus bestellt hatte und wiederholte den Satz des Kindes zur Hauptsendezeit: „Alexa, bestell mir ein Puppenhaus.“ Das interpretierten die Echo-Geräte in den Wohnzimmern der Fernsehzuschauer als Befehl und gaben die Bestellung direkt an Amazon weiter – was den Zuschauern viele Puppenhäuser und dem Fernsehsender zahlreiche Beschwerden einbrachte. „Wenn jemand im Fernsehen sagt, ,Alexa, schalte das Licht ein‘, birgt das bei einer fünfstelligen Anzahl solcher Haushaltsgeräte in den USA durchaus Gefahrenpotenzial“, sagt Greveler. Solche Mechanismen können ein Stromnetz in die Überlastung führen – und dann ist der Weg zum Blackout nicht mehr weit.