Traditionell wird ja ab Herbst von der Energiewirtschaft vor großflächigen Stromausfällen gewarnt, weil die Erneuerbaren Energien die Versorgungssicherheit nicht gewährleisten können. Das diese Gefahr kaum besteht, wurde schon oft genug nachgewiesen. Doch Probleme könnte es in Zukunft aus einer anderen Richtung geben.

In Marc Elsbergs Roman Blackout wurde ein Szenario beschrieben, in dem unter anderem intelligente Stromzähler gehackt wurden. Durch Abschaltung wurden entsprechende Lasten vom Netz getrennt, was auch eine Abschaltung von Erzeugungsanlagen zur Folge hatte.

Nun sind diese intelligenten Stromzähler (Smart-Meter) in Deutschland noch nicht in der Masse verbaut, wie im Roman. Hier diskutiert gerade erst die Regierung über Sinn und Unsinn einer flächendeckenden Zwangs-Einführung solcher Systeme. Doch es gibt schon eine ganze Menge an Systemen, die in Haushalten verbaut wurden, die ein ähnliches Unsicherheitspotenzial aufweisen: Datenlogger mit der Funktionalität Wirkleistungsbegrenzung bei Solaranlagenbesitzern, Smart-Home-Systeme oder auch Steuerungskomponenten in Verbindung mit heimischen Speichersystemen.

Die Erfahrung zeigt, dass alle diese Systeme heute ohne einen Internetzugang nicht mehr funktionieren. Daten werden in die Datenbank des Anbieter-Portals geschrieben, aktuelle Firmware wird automatisch vom Anbieter-Server heruntergeladen, Konfigurationen werden online erstellt und dann von diesen Geräten abgeholt und die Sicherheitsprüfungen am lokalen Gerät sind oft mehr als mangelhaft. Hauptsächlich deshalb, weil sich über die möglichen Auswirkungen kaum ein Hersteller den Kopf zerbricht und eine möglichst schnelle Produkteinführung im Vordergrund steht.

Ein erstes Beispiel:

Mit einem heimischen Speichersystem wird eine kleine Kiste geliefert, die die Regelung des Systems übernimmt. Produziert eine PV-Anlage viel Energie, wird der Speicher geladen – wird keine Energie erzeugt, fungiert das System als interner Stromlieferant. Ziel bei solchen Systeme ist es ja, möglichst wenig Energie aus dem Netz zu beziehen.

Doch was wäre, wenn man den Ladezyklus verändern würde? Wenn man dem System aktiv befehlen könnte in die Lade- oder Entladephase zu schalten, unabhängig von der, durch die PV-Anlage erzeugte Energiemenge?

Bei einer einzelnen Anlage mit 10 kW hat das kaum Auswirkungen im städtischen Netz. Doch der Hersteller bewirbt sein System auch mit der Anzahl bereits verbauter Systeme. Da liegt dann die Summe der Leistung mal ganz schnell im zweistelligen Megawattbereich. Würde man jetzt alle Systeme synchron an- oder ausschalten hätte das sofort ernste Auswirkungen auf das Stromnetz. Da solche drastischen Laständerungen nicht vorhersehbar sind, kann dies sehr schnell zu einem Zusammenbruch der Versorgung führen.

Jetzt kann man natürlich sagen, das Beispiel ist nur eine theoretische Betrachtung. Weit gefehlt – diese Systeme sind im Einsatz und können genauso manipuliert werden, wie Kollege Thorsten Zoerner unlängst dem Hersteller bewiesen hat.

Das einzige was für eine großflächige Kontrollübernahme noch zu tun ist, wäre die Anmietung eines Bot-Netzwerkes zur Übertragung von Schadcode. Hier bieten sich einige Möglichkeiten, die selbst ein unbedarfter Hacker mit ein wenig krimineller Energie und wenig Aufwand realisieren kann.

Der Hersteller in diesem Beispiel hat auf diese Sicherheitslücke umgehend reagiert, das Sicherheitskonzept überarbeitet und eine veränderte Software zur Verfügung gestellt, die nun auf allen Systeme installiert wird. Doch es ist keine abwegige Unterstellung, dass es noch eine ganze Reihe von Herstellern mit ähnlichen Sicherheitsproblemen gibt.

Wir selbst haben z.B. in den Jahren 2008 bis 2010 einige Datenlogger in den Fingern gehabt, die – wenn man sich ein wenig mit den Kisten beschäftigt – mehr preisgegeben haben, als vom Hersteller angedacht war. So gab es Wartungszugänge für den Installateur oder den Hersteller selbst, die nur eher plump gesichert waren, so dass man recht einfach die Netzwerkkonfiguration oder Basisdaten ändern konnte. So könnte man mit dieser Art der Manipulation die Einspeisung der PV-Anlage komplett abschalten.

In diesem Bereich gibt es Hersteller, die mit diesen Kisten mehrere Hundert Megawatt verwalten. Damit könnte man mit ein wenig Aufwand schon die Stromversorgung nachhaltig in die Knie zwingen.

Bisher erscheint den Herstellern die Möglichkeit allerdings noch ein wenig abwegig. Doch wird erst reagiert, wenn am Weihnachtsabend tatsächlich die Lampen ausgehen, dann sind die Probleme, die VW gerade hat, eher Kleinigkeiten. Die Hersteller täten also gut daran, sich mit dem Sicherheitsaspekten zu beschäftigen.

Im weiteren Teilen erklären wir Ihnen, was passieren kann, wenn man Übertragungsdaten manipuliert anstatt Systeme komplett auszuschalten. Auch das kann verheerende Auswirkungen haben. Und außerdem starten wir dann den Aufruf zum Hacken bzw. zur Offenlegung von Sicherheitslücken, so wie es in der Softwarebranche schon lange üblich ist.
Hersteller können sich bereits jetzt mit der Redaktion in Verbindung setzen, um weitere Informationen zu erhalten.

Den Beitrag "Blackout: Wenn am Tannenbaum die Lichter ausgehen offline Lesen:

Kommentar hinterlassen

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

benötigt