Durch die fortschreitende Digitalisierung ist es seit mehreren Jahren möglich, seine Identität für eine Anmeldung auch online nachzuweisen, so können bspw. Behördengänge vermieden werden. In den Videoanrufen kontrolliert ein*e Mitarbeiter*in die Übereinstimmung von den bereits angegebenen Daten, der Person und dem Ausweisdokument. Dabei müssen Gesicht wie Dokument lediglich auf dem Videoanruf klar sichtbar sein und in verschiedene Richtungen bewegt werden, um deren Echtheit zu belegen.

Der CC-Club täuschte mehrere Unternehmen durch Fälschung der Ausweisdokumente, unter anderem mithilfe einer Open-Source Anwendung, die öffentlich zugänglich ist. Zudem spielte der Gruppe die schlechte Qualität der Anrufe in die Hände, wodurch kleine Ungereimtheiten nicht auffielen. Unter anderem konnte auf konkrete Gesundheitsdaten einer Person zugegriffen werden, die ihr Einverständ-nis vorab zu diesem Versuch gegeben hatte.

Das genaue Vorgehen der auf Computersicherheit spezialisierten NGO ist auf deren Website nachzulesen, um welche sechs Unternehmen es sich bei den erfolgreichen handelt, haben die Expert*innen aber nicht bekanntgegeben. Allerdings folgte auf die Bekanntgabe der Sicherheitslücke eine Anordnung der für die Digitalisierung der Krankenkassen zuständigen Gematik GmbH, welche die weitere Nutzung der Anwendung verbot.

Grundsätzlich sollte die Verifizierung von Personen im digitalen Raum längst durch den Wechsel zum digitalen Personalausweis realisiert worden sein. Doch nur wenige Bürger*innen verfügen bislang über diesen, zumal es auch hier starke Kritik an der von der Bundesregierung eingesetzten Technologie gibt.

Quelle: www.tagesschau.de

Picture by mohamed_hassan on pixabay

Neue Anforderungen an die Verbraucherpolitik

Als die wesentlichen Trends der aktuellen Zeit, welche sich in veränderten Anforderungen an die Verbraucherpolitik widerspiegeln, nennt FES-Referent Dr. Robert Philipps eine Veränderung der Konsumwelt durch neue digitale und vernetzte Produkte und die Sammlung, Auswertung und Nutzung von Verbraucherdaten. Auch die dadurch entstehenden personalisierten Angebote und eine Automatisierung von Verfahren durch KI-basierte Algorithmen, die beispielsweise Entscheidungen bei Auswahlverfahren vorbereiten oder selbstständig treffen können, stellen neue Herausforderungen dar. Die positiven Aspekte dieser Entwicklungen sieht er in einer Erweiterung von Konsummöglichkeiten, in Prosuming-Konzepten, also der Möglichkeit für Verbraucher selbst als Mitarbeiter bzw. Anbieter tätig zu werden, sowie in einer erhöhten Markttransparenz beispielsweise durch Vergleichsportale.

Probleme ergeben sich laut dem Positionspapier in allen drei betrachteten Bereichen, vor allem durch die Erhebung personenbezogener Daten und deren Missbrauch. Im Bereich der Sicherheit fordert die Projektgruppe daher ein IT-Sicherheitsrecht, das definierte Mindeststandards, eine Updatepflicht für Hersteller und Zulassungsverfahren bei bestimmten Produkten vorsieht. Zur Durchsetzung des Rechts auf Privatsphäre und informationelle Selbstbestimmung, die im digitalen Bereich heute nicht gegeben sind, empfiehlt die FES in erster Linie eine Stärkung der Rechtsdurchsetzung.

Möglich sei jedoch auch eine Förderung von datensparsamen Produkten oder die Entwicklung neuer digitaler Lösungsoptionen, die Datenströme kontrollieren und steuern könnten. Zum Thema Fairness und Teilhabe hat sich die Projektgruppe insbesondere mit Algorithmen auseinandergesetzt, also den automatisierten Verfahren zum Treffen von Entscheidungen. Probleme bestehen hier bei intransparenten Verfahren und Fällen von Diskriminierung. Gefordert wird daher eine gesetzliche Verpflichtung zur Nachvollziehbarkeit, eine gesetzliche Verschärfung der Haftung von Anbietern und eine gleichzeitige Stärkung der Aufsichtsbehörden.

Im Anschluss an die Vorstellung des Papiers kamen die Podiumsgäste unter der Moderation von Prof. Dr. Christian Thorun, Geschäftsführer des ConPolicy Instituts für Verbraucherpolitik, zusammen, um die vorgestellten Punkte zu diskutieren. Als Diskussionsgäste waren Sabine Frank, Leiterin für Regulierung, Verbraucher- und Jugendschutz bei der Google Germany GmbH, Sarah Ryglewski, Mitglied des Deutschen Bundestags und neue Parlamentarische Staatssekretärin im Bundesfinanzministerium, Klaus Müller, Vorstand der Verbraucherzentrale und Mitglied der Datenethikkommission der Bundesregierung, Peter Bihr, Managing Director der The Waving Cat GmbH und Dr. Claus Dieter Ulmer, Konzernbeauftragter für den Datenschutz der Deutschen Telekom Gruppe geladen.

Frage der Haftbarkeit

Eine der wichtigsten Herausforderungen der digitalen Veränderungen für die Verbraucherpolitik sehen Peter Bihr und Klaus Müller in der Schwierigkeit, bei komplexen und oft vernetzten Systemen die Fehlerursache ausfindig zu machen. Daher sei eine Anpassung des Produkthaftungsgesetz an die Entwicklungen im digitalen Bereich nötig. Müller ist überzeugt, der Hersteller müsse für Updates und Wartung der Produkte verantwortlich sein, da nur dieser das nötige Know-How zur Verfügung hätte. Sabine Frank lehnt eine solche Regelung ab, da Software immer fehlerhaft sei. Wie auch Dr. Claus Dieter Ulmer sieht sie eine Verantwortung beim Verbraucher, der ein Bewusstsein für Datensicherheit entwickeln müsse. Sarah Ryglewski erachtet Vorschriften und gesetzliche Regelungen an den Stellen für sinnvoll, wo es extreme Sicherheitsprobleme gibt, wie beispielsweise bei der Verschlüsselung von Emails. Von Prof. Dr.-Ing. Adam Wolisz kam aus dem Publikum der Einwand, dass jegliche Form der Rechtsschaffung im digitalen Bereich heute nur „Archäologieforschung“ sei. Aufgrund der immer schneller voranschreitenden Entwicklung dauere die Gesetzgebung zu lang, um zeitgemäße Gesetze zu verabschieden. Sarah Ryglewski sieht die Lösung für dieses Problem in einer besseren generelleren Formulierung von Gesetzen mit Antizipation zukünftiger Entwicklungen. Klaus Müller erkennt eine Möglichkeit in einer Pflichtversicherung für den digitalen Bereich, um Schäden zu einem gewissen Grad auszugleichen, wenn die Frage der Haftbarkeit nicht geklärt werden kann.

Beim zweiten Themenfeld, der Selbstbestimmung, nennt Sarah Ryglewski eine wichtige Herausforderung mit der „Verständlichmachung“, beispielsweise bei der Datenerhebung. Auch Dr. Claus Dieter Ulmer und Sabine Frank wünschen sich in Bezug auf die Datenschutzgrundverordnung eine Konkretisierung und Abstimmung der Behörden. Klaus Müller kann sich hier auch technologische Entwicklungen von privaten oder öffentlichen Akteuren vorstellen, sogenannte „digitale Notare“, die aufgrund von vom Nutzer getroffenen Voreinstellungen die Datenweitergabe bei bestimmten Anbietern blockieren oder gewährleisten, ohne dass sich der Nutzer jedes Mal aufs Neue entscheiden muss.

Beim Themenfeld der Fairness und Teilhabe lag der Schwerpunkt auf dem Umgang mit Algorithmen. Während Klaus Müller für Algorithmen eine Input- und Output-Kontrolle durch eine staatliche Behörde fordert, mit umgekehrter Beweispflicht bei den Unternehmen in kritischen Fällen, sieht Sabine Frank keinen Bedarf für eine behördliche Kontrolle. Bestehende Angebote wie Algorithmenwatch können diese Aufgabe schon übernehmen. Dr. Claus Dieter Ulmer schließt sich diesem Standpunkt an und betont das beidseitige Interesse von Unternehmen und Verbrauchern, Algorithmen fair zu gestalten und sie dafür den notwendigen Tests zu unterwerfen. Peter Bihr stellt zum Abschluss noch eine wichtige gesellschaftliche Frage: „In welchen Bereichen wollen wir überhaupt und wie weit wollen wir Algorithmen Kontrolle über unser Leben geben?“

Titelbild by: politik-digital

Der Patch, also das Sicherheitsupdate, vieler Hersteller, die auf Android setzen und Qualcomm Chips verwenden, ließ lange auf sich warten. Ein bekanntes Problem der Android-Lieferkette und der Grund, weshalb der potentielle „Quadrooter“-Angriff überhaupt so bekannt wurde. Standardmäßig haben Hersteller nämlich 90 Tage Zeit, ein Patch für eine Sicherheitslücke bereitzustellen, bevor diese öffentlich gemacht wird. So hatte die Firma „Check Point Software Technologies Ltd“ die von ihnen gefundene Schwachstelle im April an Qualcomm gemeldet und nun Anfang August, nach Ablaufen der Frist, auf dem Hackerkongress DefCon in Las Vegas vorgestellt.

Mit Sicherheitslücken zur Berühmtheit

„Check Point“ ist eine Sicherheitsfirma und die Veröffentlichung einer Sicherheitslücke wie der Quadrooter-Angriff ist in erster Linie ruf- und damit profitfördernd. Liest man beispielweise die Blogeinträge des Unternehmens zu gefundenen Schwachstellen, wird man an mehreren Stellen auf die Sicherheitskonzepte und -dienstleistungen Check Points hingewiesen. Auch für Privatpersonen, die Schwachstellen in Systemen fanden, war das Veröffentlichen von Lücken lange ein Weg, den eigenen Namen in Programmierer_innen-Kreisen zu etablieren. Vor allem in den frühen Jahren der Informations- und Kommunikationstechnologien, wo es an standardisierten Qualifikationen und Zeugnissen mangelte, konnte man so sein Können unter Beweis stellen.

Heutzutage stehen Programmierer_innen vor einem breiteren Spektrum an Möglichkeiten, wenn ihnen eine Schwachstelle begegnet. Firmen haben früh begriffen, dass das ‚crowdsourcing‘ von Sicherheit ungemein effektiv sein kann und angefangen, kleinere Summen als Finderlohn auszuzahlen. Solche Belohnungssysteme haben sich unter dem Namen „Bug Bounty“ (also in etwa: Kopfgeld für Schädlinge) etabliert. Der erste Weg, den man also einschlagen kann, wenn man eine Sicherheitslücke entdeckt hat, ist das entsprechende Unternehmen zu informieren, in vielen Fällen eine kleine Summe zu kassieren, den Patch des Entwicklers abzuwarten und dann den Rufzuwachs durch die Assoziation mit dem gefundenen Risiko zu genießen.

Der Handel mit Unsicherheiten

Wesentlich lukrativer geht es allerdings auf dem Schwarzmarkt zu. Motivierte Kriminelle sind häufig bereit, ein Vielfaches der offiziellen Bug Bounties zu zahlen. Nachteile sind natürlich, dass man sich so potentiell strafbar macht und im weiteren Sinne auch jegliche Kontrolle über die Nutzung der Unsicherheit verliert. Ob ein_e Käufer_in die Information für sich nutzt oder weiterverkauft, wird kaum nachzuverfolgen sein – an Interessent_innen mangelt es jedenfalls nicht. Gerüchteweise hat auch das FBI für etwa $1 Million eine Sicherheitslücke erstanden, um das iPhone des San Bernardino-Täters zu knacken. Ob sie dazu auf Schwarzmarktgebote zurückgriffen, ist nicht bekannt, häufig aber auch gar nicht notwendig.

Denn in den letzten zehn Jahren sind zunehmend ganz legale Zwischenhändler für Systemunsicherheiten auf den Plan getreten. Hierin besteht nun also eine weitere Möglichkeit Schwachstellen loszuwerden, will man sich weder an das Unternehmen selbst wenden noch die Risiken des Schwarzmarktes in Kauf nehmen. Solche Händler operieren meist international und bieten ihren Kunden jährliche Abonnements mit je nach Preisklasse verschieden ausführlichen Berichten und Anwendungsanleitungen zu Sicherheitslücken. Transparenz ist kein Anliegen solcher Firmen wie z.B. „Zerodium“, deren Kundenbasis laut eigener Aussage aus großen Unternehmen in der Tech- sowie Finanzbranche als auch Regierungsorganisationen bestehen, welche mindestens $500,000 pro Jahr zahlen. Diese Summen erklären auch, wie Zerodium, die vor Kurzem eine Preisliste für Unsicherheiten veröffentlichten, in der Lage ist, bis zu eine halbe Million Dollar für eine Lücke in Apples iOS zu zahlen. Apple selbst hat Anfang dieses Monates als größtmögliche Belohnung „nur“ $200.000 ausgelobt.

Ring frei für den Preiskampf

Dabei handelt es sich zwar schon um die Königsklasse der Unsicherheiten; was sich aber eindeutig feststellen lässt, ist ein rapider Anstieg der Preise, die für Sicherheitslücken gezahlt werden. 2013 war die höchste Belohnung, die Facebook je an eine_n Kopfgeldjäger_in gezahlt hatte $33.500, Googles Top Auszahlung wurde mit $31.336 beziffert – heutzutage zahlt Google schon bis zu das Dreifache dieser Summe. Das Sicherheitsunternehmen Bugcrowd spricht sogar davon, dass ihre Sicherheitsforscher_innen in den letzten zwölf Monaten einen Zuwachs von 47% in der Durschschnittsauszahlung pro „Bug“ verzeichneten.

Zu erkennen ist also ein Preiskampf um Sicherheitslücken, der die Belohnungen immer weiter in die Höhe treibt. Das liegt daran, dass zum einem die Nachfrage nach Sicherheitslücken das Angebot weit überschreitet. Zum anderen ist es auch nicht einfach für jeden möglich, in das Geschäft um die Sicherheitslücken einzusteigen und so anderen deren Gewinn streitig zu machen, da ein hohes Niveau an technischem Know-How gefragt ist. Erstmal eine erfreuliche Entwicklung für alle Sicherheitsforscher_innen, darüber hinaus aber ergeben sich aber zwei Probeme. Erstens: Wenn Firmen mit immer höheren Sicherheitskosten konfrontiert sind, sind sie theoretisch irgendwann gezwungen höhere Preise zu verlangen, um ihre Kosten zu decken. Da aber gerade Technologie-Giganten wie Apple oder Google die weltweit höchsten Gewinne erzielen, sollten steigende Kosten zumindest kurzfristig kein Problem darstellen. Zu hinterfragen wäre vielleicht eher, ob Steuergelder in solche Preiskämpfe miteinfließen sollten. Denn im Endeffekt üben Zwischenhändler wie Zerodium mit ihren teilweise astronomischen Belohnungen großen Druck auf den Markt aus und das Kapital solcher Firmen stammt unter anderem aus den Abonnementzahlungen verschiedener Regierungen.

Das zweite Problem ist die undurchsichtige Struktur solcher Zwischenhändler, generell mangelt es nicht an Kritik an den Geschäften innerhalb der Cybersicherheitsbranche. Zurückführen kann man das auf die Dual-Use Natur von Technologien – in zweierlei Hinsicht. Einerseits können verschiedene Anwendungen sowohl im zivilen wie auch militärischen Bereich von Nutzen sein. Andererseits können z.B. Sicherheitslücken für offensive sowie defensive Vorgehen eingesetzt werden. Soll heißen, weiß man um eine Sicherheitslücke, kann man sie schließen – oder ausnutzen.

Mit der Einführung von Bug Bounty Programmen und wiederholtem Erhöhen von Belohnungen scheinen Firmen sich angesichts immer neuer Technologien, Lücken und Krimineller jedenfalls nicht ausschließlich auf das Moralverständnis von Sicherheitsforscher_innen verlassen zu wollen.

Titelbild: Lego Cowboy von Chris Sheppard via flickr, licenced CC BY 2.0 

Es ist drei Uhr nachts. Wir befinden uns in einem klassischen Mehrfamilienhaus. Die gesamte Bewohnerschaft hat sich schon vor Stunden schlafen gelegt. Die Waschmaschine bei Müllers im zweiten Stock springt von alleine an – zweieinhalb Stunden Waschgang mit 1.300 Umdrehungen. Natürlich im längeren Energiesparmodus, schließlich möchte man möglichst die Umwelt schonen. Nur die darunter im ersten Stock lebende Familie findet das aber nicht ganz so lustig.

Waschen, wenn der Strom am günstigsten ist. Dies ist eines der Kernargumente der Befürworter von Smart Meter. Und dieser Logik kann man sich auch nicht verschließen: Wer möchte nicht an der Stromrechnung sparen? Dazu braucht es intelligente Haushaltsgeräte sowie sogenannte Smart Meter, die intelligenten Stromzähler. In einem Smart Grid können beliebige Geräte zur optimalen Zeit eingeschaltet werden – alles im Sinne des günstigen Strompreises und der Verschiebung von Lastzeiten. Doch das Waschmaschinen-Beispiel verdeutlicht, dass diese idealisierte Vorstellung meistens an der Realität scheitert.

Welcher Film läuft im Fernsehen?

Wie groß ist das Einsparpotential, das intelligente Stromzähler angeblich versprechen? Die meisten Studien kamen zum selben Schluss: Sie kosten viel und sparen wenig. Als die Europäische Union den Einbau von Smart Metern in Haushalten als Zielvorgabe formulierte, sollten die Mitgliedsländer Nützlichkeitsstudien in Auftrag geben. In Deutschland war es die Wirtschaftsprüfungsgesellschaft Ernst & Young, die aber feststellte: Nur für Großverbraucher lohnt sich die Anschaffung finanziell. Haushalte mit bis zu 6.000 Kilowattstunden Verbrauch würden nur 1,2 bis 1,8 Prozent einsparen. Auf dieser Grundlage entschied die Bundesregierung, nur Verbraucher mit mehr als 6.000 Kilowattstunden in die Pflicht zu nehmen.

Um die Energiesparpotentiale optimal ausnützen zu können, müssten Energieunternehmen oder automatisierte Smart Grids die Geräte in einem Haushalt von außen steuern können. Damit ergeben sich aber datenschutztechnische Probleme. Durch Smart Metering hätte ein Stromkonzern detaillierten Einblick in das Verbrauchsprofil eines Haushalts. Je nach Einstellung können die intelligenten Stromzähler auch im Minutentakt Informationen an den Energielieferanten schicken. Das mag zwar gewisse Vorteile haben, jedoch beginnt hier ein empfindlicher Bereich der Privatsphäre. Für die Bundesregierung als auch den Bundestag sind solche Informationen sensible Daten, die besonders vertraulich behandelt werden müssen. Und wer findet die Vorstellung, dass Haushaltsgeräte von alleine anspringen, nicht auch irgendwie gruselig?

Mittels solcher Daten kann präzise ermittelt werden, welche Haushaltsgeräte gerade benutzt werden. Eine von der Bundesregierung in Auftrag gegebene Studie an der Fachhochschule Münster konnte genau nachvollziehen, welche Geräte in Betrieb waren und welche nicht. Kühlschrank, Mikrowelle und Co. haben spezifische Stromverbrauchsprofile. Vergleicht man die Daten, die der Smart Meter sendet, mit bekannten Verbrauchskurven, ist eine Identifizierung kein Problem mehr. Die Forscher waren sogar in der Lage festzustellen, welcher Film gerade im Fernsehen lief. So lassen sich darüber hinaus Rückschlüsse auf die Zahl der Personen in einem Haushalt schließen.

Leichtes Spiel für Stromdiebe

Bisher ist ein solches Ausforschen noch Zukunftsmusik. Der Smart Meter-Rollout bis zum Jahr 2020 eröffnet jedoch völlig neue Perspektiven für Big Data. Man mag es nicht so schlimm finden, wenn der Stromkonzern weiß, ob nun der Fernseher läuft oder nicht. Aber in Verbindung mit anderen Daten – Stichwort Big Data – lassen sich exakte Profile erstellen, die auch Einfluss auf andere Lebensbereiche haben können. Die Frau Schmidt sitzt also nur vor dem Fernseher und kommt nie vom Sofa hoch? Da kann die Krankenkasse doch mal die Beiträge anheben. Natürlich ist das ein überspitztes Szenario, das aber zur Realität werden kann, wenn wir uns der Konsequenzen von Big Data nicht bewusstwerden.

Aber nicht nur Konzerne könnten die Verbrauchsdaten interessant finden. Kriminelle können mithilfe der Informationen Einbrüche planen. Dafür ist meist nur ein Eindringen über Smart Meter nötig – kein unrealistisches Szenario. Auch Stromdiebe können die Daten manipulieren, um hieraus ihren eigenen Vorteil zu ziehen. Bereits 2012 sollen Mitarbeiter des Stromkonzerns Enemalta über 1.000 Smart Meter manipuliert haben, um Energie abzuzweigen. Die intelligenten Stromzähler zeichneten einfach weniger Verbrauch auf. Wer die Täter bezahlte, durfte sich über eine kleinere Stromrechnung freuen. Insgesamt soll dadurch allein in einem Jahr ein Schaden in Höhe von 30 Millionen Euro entstanden sein.

Verbraucherverbände warnen vor einer „Zwangsdigitalisierung“

Die Hersteller von Smart Metern führen zu ihrer Verteidigung an, dass die gesetzlichen Vorgaben ausreichende datenschutzrechtliche Vorgaben machen. Unter anderem hat das Bundesamt für Sicherheit in der Informationstechnik ein Schutzprofil entwickelt – diesen Zertifizierungsprozess müssen Smart Meter durchlaufen. Darüber hinaus muss eine Firewall im Übertragungsmodul installiert werden. Außerdem gelte das Gebot der Datensparsamkeit. Eine minutengenaue Übermittlung der Daten an den Anbieter wird es nicht geben – zumindest vorerst.

Die Verbraucherzentrale Bundesverband warnt trotzdem deutlich vor einer „Zwangsdigitalisierung“ deutscher Haushalte durch den Einbau von Smart Metern. „Die neue ‚intelligente Infrastruktur‘ bringt für die Mehrzahl der Stromverbraucher mehr Kosten als Nutzen. Eine Modernisierungsoffensive in Deutschlands Kellern darf nicht per Zwang und auf Kosten der Verbraucher verordnet werden“, so Marion Jungbluth, Leitung Team Energie und Mobilität des vzbv. Die Verbraucherschützer plädieren stattdessen für den freiwilligen Einbau. „Darüber hinaus sei das Potenzial der Vernetzung auf Haushaltsebene für die Hebung von Effizienzpotenzialen auf der Netzebene gering“, stellt die Verbraucherzentrale in einer Pressemitteilung fest.

Lesen Sie den ersten Teil der Reihe: Eine erfolgreiche Energiewende braucht nicht nur umweltfreundliche Stromquellen, sondern auch geeignete Abnehmer. Hier kommen intelligente Stromzähler ins Spiel. Darauf aufbauende „Smart Grids“ ermöglichen eine effiziente Energienutzung in einem von starken Schwankungen und dezentralisierten erneuerbaren Energien gekennzeichneten System.

Lesen Sie den zweiten Teil der Reihe: Intelligente Stromzähler sind künftig unumgänglich. Die sogenannten Smart Meter stehen jedoch im Verdacht, besonders anfällig für Hacker-Angriffe zu sein. Im schlimmsten Fall könnten so ganze Stromnetze lahmgelegt werden.

Bild: Elglrdas, CC BY-SA 2.0

Eine fortschreitende Vernetzung erhöht die potenziellen Angriffsflächen von kritischen Infrastrukturen. „Die Erfahrung bei anderen Technologien zeigt, dass Sicherheitssysteme über kurz oder lang immer »geknackt« wurden, wenn der Anreiz dazu nur hoch genug ist.“ So ernüchternd lautet die Einschätzung des Deutschen Bundestags in seiner 2015 erschienenen Technikfolgenabschätzung zum Thema „Moderne Stromnetze“. Bei Smart Metern wird es nicht anders laufen. Dieser Ansicht sind fast alle Experten. Auch Dominik Spannheimer vom Übertragungsnetzbetreiber 50Hertz sagt auf einer Podiumsdiskussion Mitte November: „Es gibt keine hundertprozentige IT- und damit auch Netz-Sicherheit.“

Einerseits kann das Eindringen auf physischem Wege geschehen. Kritische Infrastrukturen sind heute noch zentralisiert und dadurch weitgehend abgesichert – sei es nur der Zaun um das Umspannwerk. In Zukunft wird es aufgrund der großen Zahl von installierten Smart Metern deutlich mehr Angriffspunkte geben. Wer Zugang zu Smart Metern hat, kann diese auch manipulieren. Jedoch ist der Aufwand für einen solchen Einbruch meist zu hoch.

Wie gehen Angreifer vor?

Vielmehr versuchen sich Angreifer, über lückenhafte Software und Kommunikationsschnittstellen in das System einzuklinken. Das ist laut Experten oft auch der viel einfachere Zugang. Ein Einfallstor sind zum Beispiel sogenannte SCADA-Systeme, die der Überwachung und Visualisierung der Steuerungsprozesse in einem System dienen. Auch einer der bekanntesten Cyber-Würmer machte sich an diesen zu schaffen: Stuxnet. Veraltete Virensoftware, fehlende Systemupdates, schwache Authentifizierung (Passwörter) oder selten durchgeführte Sicherheitstests sind Schwachstellen von solchen Systemen. Der Bundestag betont in seiner Technikfolgenabschätzung: „Stuxnet ist unter dem Strich weniger in seiner Eigenschaft als konkrete Schadsoftware alarmierend – wichtig ist vielmehr der nun vorliegende Nachweis über die Möglichkeit von Angriffen solcher Qualität. […] Durch Stuxnet wird deutlich, dass die gesamte Sicherheitskonzeption von Systemen zur Prozesssteuerung dringlich zu überdenken und, wo notwendig, der aktuellen Bedrohungslage anzupassen ist.“

Ein großes Problem ist dabei die Standardisierung der Technik. Hätte jedes Messgerät eine andere Software, wäre der Aufwand, in genügend Systeme einzudringen, viel höher. Durch Standard-Komponenten wird es natürlich leichter, in mehr als nur einen einzigen Smart Meter einzudringen. Knacken Hacker einen, knacken sie alle.

Eine der größten Bedrohungen für die Sicherheit von Systemen und damit auch einem intelligenten Stromnetz ist und bleibt darüber hinaus der Faktor Mensch. Ungeschulte Mitarbeiter oder alltägliche Fehler können ein Einfallstor für Angreifer sein. Schon alleine das Öffnen infizierter E-Mails reicht aus, um in ein System einzudringen. Bei einem Test sind kürzlich mehr als 50 Prozent der Polizeibeamten auf solche Phishing-Mails hereingefallen. Dass dieses Szenario auf dem Strommarkt nicht nur in der Theorie existiert, beweist eine als „Dragonfly“ bekanntgewordene Hacker-Gruppe. Die IT-Sicherheitsfirma Symantec berichtete im Sommer 2014 über einen breit angelegten Angriff auf die IT-Anlagen der westlichen Energiewirtschaft. „Dragonfly“ nutzt üblicherweise verseuchte E-Mails, um in die Systeme einzudringen. Die eingeschleuste Malware spionierte dann Systeminformationen und Passwörter aus. Wenn die Gruppe die Möglichkeiten genutzt hätte, die ihr offenstanden, so Symantec, hätte die Energieversorgung in den betroffenen Ländern großen Schaden nehmen können. Unter anderem wurden Netzbetreiber, Energieproduzenten und Hersteller für die Industrie infiziert. Betroffen waren vor allem Spanien und die USA. Aber auch deutsche Unternehmen gerieten ins Fadenkreuz der professionell vorgehenden Hacker.

Was können Angreifer im Stromnetz anrichten?

Sobald sich die Angreifer Zugang zum System geschaffen haben, stehen ihnen fast alle Möglichkeiten offen. Auf der anderen Seite können Eindringlinge auch systemische Krisen auslösen. Über Smart Meter gelangen sie in die Kommunikationsinfrastruktur und können so durch böswillige Kommandos dem Netzbetreiber sowie dem Smart Grid erheblichen Schaden zufügen. Durch das Senden verfälschter Informationen an den Betreiber können unter anderem falsche Steuerungsaktionen ausgelöst werden. Überlastungen im Stromnetz wären eine mögliche Folge. Wenn die Angreifer die Kontrolle über das System haben, dürfte es auch ein leichtes sein, beispielsweise die Energiezufuhr in U-Bahnen auszuschalten. Doch es könnte auch weitaus gravierendere Folgen haben, so eine entsprechende Studie aus Österreich von 2012: „So könnte etwa ein (klassischer) IT-Angriff (z. B. ein Wurm) zum Totalausfall des Stromnetzes führen.“

Wie wahrscheinlich sind solche Szenarien?

Die Bedrohungslage ist deutlich. Doch existiert diese nur in der Theorie? Grundsätzlich gilt: Je vernetzter ein System ist, beispielsweise eine Stadt, desto größer ist die Zahl potenzieller Angriffsflächen. Bereits 2012 stellte das Innenministerium fest, dass es immer mehr Cyber-Attacken auf Informationsstrukturen gibt, die gleichzeitig zunehmend professioneller durchgeführt werden. „Zwei bis drei Mal pro Woche bekommen wir einen Angriff mit“, schildert Dominik Spannheimer seine Erfahrungen beim Netzbetreiber 50Hertz.

Smart Meter stehen in besonderem Verdacht, anfällig für Angriffe auf sich selbst und das gesamte Stromnetz zu sein. „In verschiedenen Untersuchungen von IT-Experten wurde gezeigt, dass die Sicherheit marktgängiger Smart Meter mit nicht allzu komplexen und relativ verbreiteten Angriffstechniken kompromittiert werden kann“, stellt der Bundestag in seiner Technikfolgenabschätzung fest. Bereits die Kontrolle über wenige Smart Meter reicht aus, so eine Studie, um gefährliche Spannungsspitzen zu verursachen, die letztendlich zum Blackout führen können. Die öffentliche Sicherheit wäre in der Folge gefährdet.

Der Roman „Blackout“ von Marc Elsberg beschrieb vor einigen Jahren genau dieses Szenario. Unter anderem hatten Angreifer Smart Meter manipuliert, um das europäische Stromnetz lahmzulegen. Möglich ist das Szenario, wenn auch nicht sehr wahrscheinlich. Die geschilderte Aneinanderreihung fällt wohl in die Kategorie „One in a Million“. Dennoch werden wir uns in Zukunft auf Stromausfälle einstellen müssen. Auf der Podiumsdiskussion Mitte November über die Netzsicherheit warnt Karsten Pieschke von der PSI AG: Wir dürfen uns bezüglich der Netzsicherheit bloß nicht in falsche Sicherheit wiegen. Die PSI AG bietet Leitsystemsoftware für große Versorgungsnetze. Die Software optimiert und steuert den weitaus größten Teil der Deutschen Strom- und Gasnetze sowie viele Versorgungsnetze in Europa und Asien. Vor allem lokale Blackouts werden häufiger vorkommen, so Pieschke. Intelligente Stromzähler und Netze, merkt Dominik Spannheimer an, machen das Roman-Szenario aber durchaus wahrscheinlicher.

Was kann man dagegen machen?

IT-Systeme sind niemals zu 100 Prozent sicher. Mit dieser ernüchternden Erkenntnis müssen wir heutzutage leben. Dennoch kann man versuchen, die Wahrscheinlichkeit für erfolgreiche Angriffe auf das Stromnetz zu reduzieren. Dazu braucht es effektive Sicherungsmaßnahmen. Der Deutsche Bundestag zieht bisher aber ein kritisches Fazit: Insbesondere „in den Verteilnetzen, in denen die Automatisierung von Prozessen und die Nutzung von IT bisher keineswegs zum Standard gehören, stellt dies vielfach absolutes Neuland dar.“ Problem ist häufig die Finanzierung, da IT-Sicherheit oftmals noch als Kosten, nicht als Zukunftsinvestition gesehen wird. Viele Sicherungsmethoden sind in der Theorie bekannt, werden in der Praxis aber kaum angewandt, da sie entweder zu teuer oder zu komplex sind.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Mindeststandard für die IT-Sicherheit von Smart Metern entwickelt, der in den Augen vieler ausreichend ist. Sandro Gaycken, Direktor der European School of Management and Technology und Berater für Cyber-Security, ist jedoch skeptisch. Acht bis zehn Jahre brauche es definitiv noch, bis es gute Sicherheitskonzepte gibt. Viele der heutigen Technologien und deren Markt seien noch nicht ausgereift genug.

Wie soll man mit der Bedrohung umgehen?

Praktisch versuche man bei 50Hertz zum Beispiel, Internet und Stromsysteme klar voneinander zu trennen, um Angriffe zu vermeiden. Auch der schlichte physische Schutz von Smart Metern, beispielsweise mit Schlössern, wäre ein Mittel der Sicherung. Regelmäßige Tests der Systeme und Updates sollten vor allem bei den Netzbetreibern und Energieunternehmen selbstverständlich sein. Insgesamt ist es aber trotzdem schwierig, die Sicherheit im Smart Grid zu gewährleisten, da es viele Beteiligte und kaum zentrale Stellen gibt, wodurch die Zahl der Angriffsflächen steigt. Die Offenheit des digitalen Raums hat außerdem zur Folge, dass Angriffe verschleiert und auch fremde Computer für die Attacken missbraucht werden können. Die Möglichkeiten zur Abwehr sowie die Rückverfolgung sind dadurch enorm begrenzt.

Die KRITIS-Strategie des Innenministeriums setzt angesichts der Unvermeidbarkeit solcher Angriffe vor allem auch einen Schwerpunkt auf die Nachsorge. Eine offene Risikokommunikation oder Selbstverpflichtungen oder Selbsthilfe-Fähigkeiten werden von Nöten sein. Das Krisenmanagement muss effizient sein und der Regelbetrieb schnell wiederaufgenommen werden.

Intelligente Stromnetze können niemals zu 100 Prozent sicher sein. Es ist vor allem eine Frage unseres Umgangs mit den möglichen Bedrohungen. Mit einer passenden Vorsorge ist es zumindest möglich, die Wahrscheinlichkeit und Häufigkeit erfolgreicher Angriffe zu verkleinern und ihre Folgen zu minimieren.

Lesen Sie den ersten Teil der Reihe: Eine erfolgreiche Energiewende braucht nicht nur umweltfreundliche Stromquellen, sondern auch geeignete Abnehmer. Hier kommen intelligente Stromzähler ins Spiel. Darauf aufbauende „Smart Grids“ ermöglichen eine effiziente Energienutzung in einem von starken Schwankungen und dezentralisierten erneuerbaren Energien gekennzeichneten System.

Lesen Sie den dritten Teil der Reihe: Nicht nur finanziell sind intelligente Stromzähler kein gutes Geschäft. Auch beim Datenschutz gibt es zahlreiche Bedenken gegen die sogenannten Smart Meter. Verbraucherverbände warnen vor einer „Zwangsdigitalisierung“.

Bild: Nayu Kim, CC BY-SA 2.0