Im ersten Teil unserer Artikelserie haben wir gezeigt, dass man die über verschiedene Geräte – Datenlogger oder Steuereinheiten für Speichersysteme – die Kontrolle übernehmen könnte. Doch es ist nicht immer die komplette Kontrolle notwendig, um Schaden anzurichten. Datenmanipulation kann Deutschland noch viel mehr kosten.

Es gibt ein paar Unternehmen, die haben im Bereich der Photovoltaik in den letzten Jahren hohe Erfolge zu verbuchen. Und nahezu jede Solaranlage wurde mit entsprechenden Datenloggern bestückt. Diese melden nun in kurzen Abständen, wie viel Leistung die Anlage bringt. In Verbindung mit den hinterlegten Stammdaten – Standort, Kundendaten, Anlagengröße, verbaute Komponenten, … – ist so ein Teil eine verlässliche Methode für den Betreiber die Daten zu archivieren und den Verlauf seiner Anlage nahezu in Echtzeit zu visualisieren.

Der Kunde sieht natürlich nur seine Anlage. Doch auf der Seite des Portalbetreibers respektive Herstellers stellt sich die Situation anders dar: Für diesen sind das bundesweit Zehntausende verlässliche Messpunkte mit der sich in der Summe ganz verschiedene Auswertungen machen lassen. Grundsätzlich spricht auch nichts dagegen, denn summiert und konsolidiert ist auch das Thema Datenschutz nicht mehr relevant.

In der Anfangszeit der PV waren solche Online-Zugänge noch kostenlos. Erst später – nachdem den Herstellern klar wurde, was die Serverlandschaft für Kosten verursacht – wurden die Zugänge kostenpflichtig. Trotzdem wurde nach Möglichkeiten gesucht, die Kosten zu minimieren oder eben aus den Daten Kapital zu schlagen. Doch wie soll das gehen?

Die Netzbetreiber in Deutschland haben alle eigene Systeme, um Prognosen zu erstellen, wie viel Energie beispielsweise morgen benötigt wird. Ein Teil der Prognose wird über die Wettervorhersage beeinflusst, ein zweiter Teil sind eigene Erfahrungswerte (auch in Bezug auf Großereignisse). Jede weitere Datenquelle könnte nun die Verlässlichkeit solcher Prognosen weiter verbessern. So wäre die mögliche Einspeiseleistung aller PV-Anlagen in Deutschland solch eine Quelle. Aber alle Anlagen können und werden nicht erfasst.

Aber ein Hersteller, der einen erheblichen Marktanteil hat, kann dies in Verbindung mit aktuellen Zubauzahlen relativ genau für Deutschland hochrechnen. Der Live-Wert der Einspeiseleistung wird sogar auf einer Internetseite veröffentlicht.

Gesammelte Daten werden systemrelevant

Und genau hier kommt die Verbindung. Wenn nämlich der Hersteller / Portalbetreiber die konsolidierten Daten an die Netzbetreiber verkauft. Dann werden aus eingesammelten Kundendaten mit einem Mal systemrelevante Entscheidungsgrundlagen für Planung und Betrieb unserer Stromnetze.

Das ist nicht nur rechtlich bedenklich sondern auch in Bezug auf die Sicherheit ein Alptraum. Denn die verbauten Geräte sind eben nicht so sicher, wie wir im ersten Teil beschrieben haben und in den Jahren 2009 – 2011 hat sich über Datenschutz und Sicherheitsprotokolle kaum jemand ernsthaft Gedanken gemacht.

Was würde denn passieren, wenn man als findiger Hacker nun die Geräte so manipuliert, das die gemeldeten Leistungen kontinuierlich steigen oder auch sinken würden? 10 Prozent dürften da gut ausreichen. Damit würden unter Umständen die Prognosen der Netzbetreiber erheblich daneben liegen und es muss im Laufe des Tages mit einem Mehr an Regelleistung ausgeglichen werden. Das kostet im ersten Ansatz mal Geld, dass irgendwann dann die Stromkunden zahlen müssen.

Würde man die Abweichung weiter erhöhen, so wären gravierende Systemfehler wohl unvermeidbar. Denn, bei einer solch großen Datenmenge sind Plausibilitätsprüfungen kaum noch zu machen. Lässt man sich mit einer Manipulation ein paar Wochen Zeit – was sich schon durch das Ausrollen der Manipulation ergibt – so wird es kaum Auffälligkeiten geben, die zu Alarmen führen. In der Folge wird dann unser Stromnetz instabil und es kann durchaus zu unschönen Fehlern oder Schäden kommen.

Doch wie kann man Daten fälschen? Den genaueren Hintergrund wird Kollege Thorsten Zoerner wohl beschreiben. Doch in nahezu allen Kisten sind die entsprechende Ziel-Adressen für das Portal hinterlegt. Die Auflösung der Adressen erfolgt über den eingegebenen DNS-Server. Allein damit könnte man die Verbindung über eine manipulierende Stelle umleiten und dabei den Datenstrom verändern. Im Prinzip eine Fingerübung. Und es gibt noch diverse andere Methoden – die wir in der Vergangenheit schon erfolgreich getestet haben.

Und auch das verteilen von Skripten ist in vielen Fällen einfach, denn schaut man sich an, wie die Portal- und Webseiten der Hersteller gemacht sind, stellt man oft fest, dass WordPress, Typo3 und Co dahinter stehen. Kostenlose Trivialsysteme, die bekannt dafür sind, dass sie angreifbar sind.

Was wird weiter passieren? Die Netzbetreiber werden lange nach Fehlern suchen, die Politik wird die erneuerbaren Energien dafür verantwortlich machen und der Datenlieferant wird kaum an Manipulation der eigenen Daten denken. Denn das gab es ja noch nie. Die Zeche zahlen dann die Kunden.

Der Vollständigkeit sei genannt, dass es nicht nur Hersteller gibt, die systemrelevante Mess- oder Prognosedaten an Netzbetreiber verkaufen. Es ist auch im Geschäft mit dem Wetter üblich, so zu verfahren. Jeder Datenlogger an einer PV-Anlage ist ja auch eine primitive Wetterstation. Da ist ein großer deutscher Anbieter (z.B. Meteocontrol) schon vor Jahren drauf gekommen.

Im nächsten Teil wollen wir versuchen, die Hacker dieser Welt mit ins Boot zu holen und die Schwachstellen solcher Systeme offen zu legen. Die Hersteller sind dann in der Pflicht entsprechend zu reagieren. Die Politik lassen wir mal außen vor, denn die Menschen dort haben im Regelfall sowieso von nichts eine Ahnung und würden nur aberwitzige Gesetze diskutieren, die das Problem nicht lösen.

Den Beitrag "Datenlogger: manipulierte Daten könnten der Volkswirtschaft schaden offline Lesen:

9 Gedanken zu “Datenlogger: manipulierte Daten könnten der Volkswirtschaft schaden

  1. Sehr geehrter Herr Kuhn,

    das von Ihnen geschilderte Bedrohungsszenario ist durchaus realistisch. Für die Stabilität des Energieversorgungssystems sind Datensicherheit und Datenschutz in Zukunft genauso wichtig wie das Gleichgewicht aus Erzeugung und Verbrauch. Dem hat der Gesetzgeber mit dem jüngst vorgestellten Messstellenbetriebsgesetz (MsbG) Rechnung getragen. Systemrelevante Daten dürfen nicht über private Datenverbindungen, sie müssen über das zertifizierte Smart Meter Gateway geleitet werden. Der dafür zuständige Smart Meter Gateway Administrator ist ein Profi in Datensicherheit, sonst bekommt er kein Zertifikat vom BSI. – Für etwas muss deutsche Gründlichkeit doch gut sein!

    Mit freundlichen Grüßen
    Andreas Probst

    Antworten
    • Diese „Profis“ mit Zertifikat vom BSI haben sich also auf einen „Single-Point-Of-Failure“ verständigt. Klasse Idee, wird ein einziger erfolgreicher Angriffsvektor gefunden, dann ist damit der Totalschaden ja schon besiegelt.
      Unterschiedliche Systeme würden zwar mehr Angriffsfläche bieten, aber die Schadwirkung wäre dafür auch begrenzt.

      Ich würde sagen, Ihre „Profis“ halten am zentralistischen Gedanken fest und haben immer noch nicht den wesentlichen Nachteil erkannt.
      Jeder Bauer weiß, wie anfällig Monokulturen sind … und diese Analogie bewahrheitet sich sogar in der IT seit Jahrzehnten und trifft eben auch auf elektronisches Ungeziefer und dessen Wirts-Systeme zu. 😉

      Da bin ich dann doch froh, dass jeder Wechselrichter- und Akku-Hersteller sein eigenes Süppchen kochen will und baue darauf, dass alleine der Konkurrenzdruck für Vielfalt und damit indirekt für Stabilität und Sicherheit sorgt.

      Antworten
      • Eine Frage, kennen Sie die dahinter steckende Architektur? Es handelt sich um eine maximal dezentralisierte Architektur, jedes Smart Meter Gateway (SMGW) gibt seine Daten direkt an alle Datenumgangsberechtigten sofort ab. Keine Bündelung beim Messstellenbetreiber. Das ist vom dadurch produzierten Datenaufkommen (Overhead, Verbindungsanzahl) nachteilig, aber Angriffe können gar keine Wirkbreite entfalten. Und an die Administration der SMGW (SW-Update etc.) kommt nur der zentrale Administrator. Das ist eine optimale Kombination von dezentralem und zentralem Ansatz, die Erkenntnisse der Komplexitätstheorie lassen grüßen.

        Antworten
        • Ich bin begeistert von dieser dezentralen Architektur. Diesen Ansatz Daten und Kommunikation zu schützen, wird mit frappierender Ähnlichkeit auch von der NSA praktiziert. Die Organisation vertraut in wesentlichen Teilen auf die durch Dienstleister zu erbringende Sicherheitsleistung, genau so wie beim SMGW.
          „Das Schutzprofil für das Smart-Meter-Gateway konzentriert sich auf die zu erfüllende Sicherheitsleistung eines verbauten Gateways“.
          Bei der NSA ist das dann ganz blöd gelaufen, ein einzelner Administrator -wie sie zu tausenden, mit vergleichbar umfangreichen Zugriffsprivilegien für die NSA arbeiten- konnte „diese Sicherheitsleistungen“ vergleichsweise einfach unterlaufen und hat das sogar gemacht und damit Geschichte geschrieben.
          Dabei würde ich der NSA offen gesagt etwas mehr zu trauen, als dem BSI … in beiderlei Hinsicht, Kompetenz und Gewissenlosigkeit …

          „Der zentrale Administrator“, sie sagen das so, als wäre das eine einzelne vertrauenswürdige Person, dergestalt, dass es doch ganz einfach sei, deren Integrität sicherzustellen. In der Praxis aber, wird das so nicht sein, die NSA hatte einige hunderttausende „Endstellen“ in Betrieb zu halten und brauchte dafür tausende Administratoren, wenn man nur mehrere Millionen „Endstellen“, also Stromanschlüsse in Betrieb halten will, dann werden dafür ebenso Heerscharen von Administratoren gebraucht … deren Integrität nicht mehr zu gewährleisten ist. Wie Edward Snowden eindrucksvoll vorführte, funktioniert das nicht mal auf dem höchstem Sicherheitsniveau.

          Beim SMGW gibt es aber noch ganz andere Schwachstellen, allen voran das Scheunentor bei der Public-Key-Infrastruktur, dessen (staatliche) Wurzel der Anker aller Vertrauensstellungen ist. Haben Sie eigentlich eine Vorstellung davon, wie oft in den letzten Jahren sogenannte „Root-Zertifikate“ gestohlen, gefälscht oder anderweitig kompromittiert wurden und in Folge annulliert wurden und gegen andere ausgetauscht werden mussten?
          Was glauben sie, was im SMGW in einem solchen Fall wohl passiert?
          Man muss gar nicht mal die verschlüsselte Kommunikation knacken und Daten manipulieren, es reicht völlig aus sie nachhaltig zu stören! Und dazu muss man nur wissen, dass in Folge des Annullierens eines Zertifikats die Kommunikation zwischen allen Teilnehmern die noch das alten, nun ungültigen Zertifikat verwenden gestört ist und es bei so umfangreicher Vernetzung mehrere Tage dauern wird, die Zertifikate zu tauschen. Ein automatisierter Tausch ist aufgrund der Kompromittierung dabei nicht mehr möglich, da kein sichere Kommunikation mehr möglich ist, kann man darüber ja auch keine neuen Vertrauensstellungen mehr aufbauen. Wie sollte man das Stromnetz stabil zu halten, wenn man einige Tage (von mir aus auch nur Stunden) quasi blind ist, weil die ganzen Messstellen keine Daten mehr liefern, weil keine Sichere Kommunikation mehr möglich ist?

          Es nicht nur um irgendwelche Scriptkiddies mit Flausen im Kopf. Alleine mit etwas Allgemeinwissen der jüngeren Geschichte, sollte man wissen, dass vor allem Energie im Zentrum von Konflikten und Kriegen steht, auch wenn sie nicht ursächlich ist, dann rückt sie schnell ins Blickfeld, weil es eine verwundbare Stelle darstellt. Ein Blick auf die Krim, gesprengte Stromleitungen und die eilends neu in Betrieb genommenen neuen Stromleitungen verdeutlicht das. Man muss davon ausgehen, dass das SMGW (resp. ein Smart-Grid) ein so veritables Ziel ist, dass fremde Mächte durchaus sehr kompetente Leute mit destruktiven Absichten daransetzen.
          Ein Snowden der, statt Dokumente zu stehlen, Schlüssel kompromittiert dürfte wohl schon ausreichen.

          Antworten
  2. D.h. die bereites vorhandenen Installationen von Philips, SMA, Bosch, Belkin, Voltcraft etc… die alle fleißig Daten sammeln und an ein „sicheres“ Portal senden, werden zukünftig konsequent verboten?

    Antworten
  3. Die genannten vorhandenen Installationen werden sicher zu einem Diskussionsthema werden. Wenn ein PV-Anlagenbesitzer seine Einspeisedaten irgendjemand zur Verfügung stellt, ist die Art der Erfassung, Verarbeitung und Versendung sicherlich seine Privatangelegenheit. Sobald diese Daten allerdings mit dem regulierten Bereich in Berührung kommen, um dort genutzt zu werden, sind wegen der Systemrelevanz die gesetzlichen Anforderungen zu erfüllen. Ein Übertragungsnetzbetreiber, der Daten von SMA zur Verbesserung seiner Vorhersage nutzt, muss Ansprüche an die Methodik bei der Datensicherheit des Datenlieferanten stellen. Das macht Sinn, weil für Erzeugungsanlagen > 7 kW das intelligente Messsystem mit Smart Meter Gateway verpflichtend ist und optional auch kleinere Erzeugungsanlagen angeschlossen werden können. Der Datenlieferant ist dann entsprechend §49 MsbG Abs. 2 Punkt 7 wie ein Datenumgangsberechtigter mit allen Pflichten und Rechten zu behandeln. Dann werden die Einspeisedaten vermutlich auch nicht mehr unentgeltich zur Verfügung gestellt.

    Antworten
  4. Ob sich die Ukraine über das Weihnachtsgeschenk gefreut hat?

    Stellt sich die Frage, ob es nur Max Mustermann ist, der seine Heimanlage nicht schützen kann oder gar ein Werner Kleinkauf seine „System- Mess- und Analgentechnik“ kaputt klickt oder einfach der Admin des Netzbetreibers mit der zielführenden Konfiguration des IDS überfordert ist.

    Ich finde der gewählte Begriff „Hacker“ ist schon eine absolute Verharmlosung für die Art von „Angreifern“ die zu erwarten sind. Die Angreifer sind eher in den Reihen der mathematischen, computertechnischen, militärischen und kryptologischen Elite eines, mehrerer oder gar aller Länder dieser Erde zu finden, deren Gesinnung wahlweise der eines Kin Jong un, Bashar al Assad, Barack Hussein Obama, Wladimir Wladimirowitsch Putin, Xi Jinping gleichkommt.

    Der Glaube „die „Politik aussen vor lassen“ zu können „weil die Menschen dort sowieso von nichts eine Ahnung haben“ ist völlig absurd, denn genau dort sind die Irren zu verorten, die wahlweise Giftgas einsetzen oder willkürliche Todesurteile mit Killerdrohnen durchgeführen lassen. Die „Politik“ löst da freilich kein Problem, sie ist nur leider die gesamte Tragweite des Problems.
    Das außen vor zu lassen und geichzeitig zu glauben „mit ein paar ins Boot geholten Hackern und dem Offenlegen von Schwachstellen“ könne man dem Problem beikommen ist wahrlich aberwitzig, um nicht zu sagen völlig naiv „aus dem Tal der Ahnungslosen“.

    Antworten

Kommentar hinterlassen

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

benötigt