Datenlogger: manipulierte Daten könnten der Volkswirtschaft schaden 1

Datenlogger: manipulierte Daten könnten der Volkswirtschaft schaden

Im ersten Teil unserer Artikelserie haben wir gezeigt, dass man die über verschiedene Geräte – Datenlogger oder Steuereinheiten für Speichersysteme – die Kontrolle übernehmen könnte. Doch es ist nicht immer die komplette Kontrolle notwendig, um Schaden anzurichten. Datenmanipulation kann Deutschland noch viel mehr kosten.

Es gibt ein paar Unternehmen, die haben im Bereich der Photovoltaik in den letzten Jahren hohe Erfolge zu verbuchen. Und nahezu jede Solaranlage wurde mit entsprechenden Datenloggern bestückt. Diese melden nun in kurzen Abständen, wie viel Leistung die Anlage bringt. In Verbindung mit den hinterlegten Stammdaten – Standort, Kundendaten, Anlagengröße, verbaute Komponenten, … – ist so ein Teil eine verlässliche Methode für den Betreiber die Daten zu archivieren und den Verlauf seiner Anlage nahezu in Echtzeit zu visualisieren.

Der Kunde sieht natürlich nur seine Anlage. Doch auf der Seite des Portalbetreibers respektive Herstellers stellt sich die Situation anders dar: Für diesen sind das bundesweit Zehntausende verlässliche Messpunkte mit der sich in der Summe ganz verschiedene Auswertungen machen lassen. Grundsätzlich spricht auch nichts dagegen, denn summiert und konsolidiert ist auch das Thema Datenschutz nicht mehr relevant.

In der Anfangszeit der PV waren solche Online-Zugänge noch kostenlos. Erst später – nachdem den Herstellern klar wurde, was die Serverlandschaft für Kosten verursacht – wurden die Zugänge kostenpflichtig. Trotzdem wurde nach Möglichkeiten gesucht, die Kosten zu minimieren oder eben aus den Daten Kapital zu schlagen. Doch wie soll das gehen?

Die Netzbetreiber in Deutschland haben alle eigene Systeme, um Prognosen zu erstellen, wie viel Energie beispielsweise morgen benötigt wird. Ein Teil der Prognose wird über die Wettervorhersage beeinflusst, ein zweiter Teil sind eigene Erfahrungswerte (auch in Bezug auf Großereignisse). Jede weitere Datenquelle könnte nun die Verlässlichkeit solcher Prognosen weiter verbessern. So wäre die mögliche Einspeiseleistung aller PV-Anlagen in Deutschland solch eine Quelle. Aber alle Anlagen können und werden nicht erfasst.

Aber ein Hersteller, der einen erheblichen Marktanteil hat, kann dies in Verbindung mit aktuellen Zubauzahlen relativ genau für Deutschland hochrechnen. Der Live-Wert der Einspeiseleistung wird sogar auf einer Internetseite veröffentlicht.

Gesammelte Daten werden systemrelevant

Und genau hier kommt die Verbindung. Wenn nämlich der Hersteller / Portalbetreiber die konsolidierten Daten an die Netzbetreiber verkauft. Dann werden aus eingesammelten Kundendaten mit einem Mal systemrelevante Entscheidungsgrundlagen für Planung und Betrieb unserer Stromnetze.

Das ist nicht nur rechtlich bedenklich sondern auch in Bezug auf die Sicherheit ein Alptraum. Denn die verbauten Geräte sind eben nicht so sicher, wie wir im ersten Teil beschrieben haben und in den Jahren 2009 – 2011 hat sich über Datenschutz und Sicherheitsprotokolle kaum jemand ernsthaft Gedanken gemacht.

Was würde denn passieren, wenn man als findiger Hacker nun die Geräte so manipuliert, das die gemeldeten Leistungen kontinuierlich steigen oder auch sinken würden? 10 Prozent dürften da gut ausreichen. Damit würden unter Umständen die Prognosen der Netzbetreiber erheblich daneben liegen und es muss im Laufe des Tages mit einem Mehr an Regelleistung ausgeglichen werden. Das kostet im ersten Ansatz mal Geld, dass irgendwann dann die Stromkunden zahlen müssen.

Würde man die Abweichung weiter erhöhen, so wären gravierende Systemfehler wohl unvermeidbar. Denn, bei einer solch großen Datenmenge sind Plausibilitätsprüfungen kaum noch zu machen. Lässt man sich mit einer Manipulation ein paar Wochen Zeit – was sich schon durch das Ausrollen der Manipulation ergibt – so wird es kaum Auffälligkeiten geben, die zu Alarmen führen. In der Folge wird dann unser Stromnetz instabil und es kann durchaus zu unschönen Fehlern oder Schäden kommen.

Doch wie kann man Daten fälschen? Den genaueren Hintergrund wird Kollege Thorsten Zoerner wohl beschreiben. Doch in nahezu allen Kisten sind die entsprechende Ziel-Adressen für das Portal hinterlegt. Die Auflösung der Adressen erfolgt über den eingegebenen DNS-Server. Allein damit könnte man die Verbindung über eine manipulierende Stelle umleiten und dabei den Datenstrom verändern. Im Prinzip eine Fingerübung. Und es gibt noch diverse andere Methoden – die wir in der Vergangenheit schon erfolgreich getestet haben.

Und auch das verteilen von Skripten ist in vielen Fällen einfach, denn schaut man sich an, wie die Portal- und Webseiten der Hersteller gemacht sind, stellt man oft fest, dass WordPress, Typo3 und Co dahinter stehen. Kostenlose Trivialsysteme, die bekannt dafür sind, dass sie angreifbar sind.

Was wird weiter passieren? Die Netzbetreiber werden lange nach Fehlern suchen, die Politik wird die erneuerbaren Energien dafür verantwortlich machen und der Datenlieferant wird kaum an Manipulation der eigenen Daten denken. Denn das gab es ja noch nie. Die Zeche zahlen dann die Kunden.

Der Vollständigkeit sei genannt, dass es nicht nur Hersteller gibt, die systemrelevante Mess- oder Prognosedaten an Netzbetreiber verkaufen. Es ist auch im Geschäft mit dem Wetter üblich, so zu verfahren. Jeder Datenlogger an einer PV-Anlage ist ja auch eine primitive Wetterstation. Da ist ein großer deutscher Anbieter (z.B. Meteocontrol) schon vor Jahren drauf gekommen.

Im nächsten Teil wollen wir versuchen, die Hacker dieser Welt mit ins Boot zu holen und die Schwachstellen solcher Systeme offen zu legen. Die Hersteller sind dann in der Pflicht entsprechend zu reagieren. Die Politik lassen wir mal außen vor, denn die Menschen dort haben im Regelfall sowieso von nichts eine Ahnung und würden nur aberwitzige Gesetze diskutieren, die das Problem nicht lösen.

Diesen Beitrag offline lesen
Inhalt nicht verfügbar.
Bitte erlauben Sie Cookies, indem Sie auf Übernehmen Sie auf das Banner
Noch keine Stimmen.
Bitte warten...
Inhalt nicht verfügbar.
Bitte erlauben Sie Cookies, indem Sie auf Übernehmen Sie auf das Banner