Smart Home Sorge um Sicherheit von smarten Stromzählern

Ein "intelligenter Stromzähler" wird bei den 1. Hamburger Energietagen vorgestellt.

(Foto: Maja Hitij/dpa)

Intelligente Stromzähler werden bald Pflicht für viele Haushalte. Forscher warnen vor Sicherheitslücken - und dem Risikofaktor Mensch.

Von Eva Wolfangel

Es gab den einen oder anderen Skandal um intelligente Stromzähler - mal sammelten sie ungeschützt viel zu viele private Daten vom Benutzer, mal standen sie in Verdacht, es Hackern besonders leicht zu machen. Dennoch sollen in diesem Jahr die sogenannten Smart Meter Pflicht werden in Deutschland, zumindest für Haushalte, die mehr als 10 000 Kilowattstunden jährlich verbrauchen. Allerdings gibt es derzeit nicht genügend zertifizierte Anbieter für die sogenannten Gateways, die Schnittstellen zum Internet, sodass die Verpflichtung wohl erst Ende 2017 oder Anfang 2018 wirksam wird - wenn mindestens drei auf dem Markt sind.

Schuld daran sollen die hohen Datenschutz-Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sein, so äußern sich Insider. "Damit ersticken sie jegliche Innovation im Keim", sagt ein IT-Dienstleister, der nicht namentlich genannt werden will. Das BSI sei "weit über das Ziel hinausgeschossen", schließlich seien Stromverbrauchsdaten keine besonders sensiblen Informationen.

Das sehen nicht alle Experten so. Die Sicherheit der Privatsphäre ist ein Streitpunkt, seit über digitale Stromzähler diskutiert wird. Forscher der Fachhochschule Münster um den Informatiker Ulrich Greveler hatten beispielsweise im Jahr 2011 gezeigt, wie anhand der Daten eines intelligenten Stromzählers auf den Film geschlossen werden kann, den die Bewohner eines Hauses angesehen haben. Der Stromzähler, der in einem normalen Haushalt installiert war, hatte die Verbrauchsdaten alle zwei Sekunden an das Rechenzentrum des Anbieters geschickt. Daraus konnten die Forscher den Verbrauch des Fernsehers extrahieren, und aus dem für jeden einzelnen Film typischen Muster aus hellen und dunklen Szenen berechnen, was auf dem Bildschirm lief.

Das lässt sich noch einfach verhindern. Die kleinste Einheit, in der die neuen Zähler Werte übertragen, beträgt 15 Minuten. Damit können zwar keine Filme mehr erkannt werden, doch es schränkt auch die Zahl möglicher Geschäftsmodelle ein, wie der erwähnte Dienstleister klagt. Eine kleinteiligere Messung könnte die künftigen Tarife besser ausnutzen. Schließlich sollen die Strompreise der Zukunft dynamisch sein, abhängig davon, ob gerade viel oder wenig Strom vorhanden ist. Je enger man den Verbrauch automatisch an die Preise anpassen kann - mittels intelligenter Haushaltsgeräte, die sich flexibel an- und abschalten - umso mehr könnten Verbraucher sparen.

Wie sicher die Smart-Meter sind, lässt sich erst beurteilen, wenn viele von ihnen am Netz hängen

Auch Greveler, der einst den Skandal ausgelöst hatte, ist heute überzeugt, dass die Daten sicher sind: "Die Gateways unterliegen sehr aufwendigen technischen Richtlinien." Das BSI verlange "wenn überhaupt zu viel" - jedenfalls nicht zu wenig. Auch er vermutet, dass sich deshalb die Zertifizierung hinzieht. Die Unternehmen arbeiten noch an der Technologie, die unter anderem nur verschlüsselte und digital signierte Daten zulassen darf. "Die Gateways sind sicherer als gut gesicherte Unternehmensnetzwerke", sagt Greveler.

David Elze wiederum will sich auf eine solche Aussage nicht festlegen: "Eine Zertifizierung sagt nichts darüber aus, ob ein Hack nicht doch möglich ist." Elze und seine Kollegen vom Unternehmen Code-White sind so genannte White Hacker. Sie hacken Unternehmen in deren Auftrag, um Sicherheitslücken aufzuspüren. Aufgrund der hohen Standards ist es zwar unwahrscheinlicher geworden, dass Hacker über geknackte intelligente Stromzähler einen großflächigen Blackout verursachen. Ganz ausschließen will Elze diese Möglichkeit aber nicht: "Man kann das System erst realistisch beurteilen, wenn man den kompletten Verbund testet" - sprich: wenn die Zähler bereits eingebaut sind und das System läuft.

Es gibt aber noch gravierendere Sicherheitsprobleme als die Schnittstellen zum Internet: zum Beispiel den Menschen. Die Zertifizierung sieht zwar vor, dass nur der Administrator das Smart-Meter-Gateway konfigurieren darf. In dieser Administratorenrolle sind aber meist Unternehmen, kein einzelner Mensch. "Unternehmen sind lebendige Einheiten, da kann es zu Schwachstellen kommen", sagt Greveler - beispielsweise durch schlecht ausgebildete oder nachlässige Mitarbeiter oder durch kriminelle Energie. Dem Administrator kommt nämlich eine Schlüsselrolle zu. Er soll schließlich auch "unterbrechbare Verbrauchseinrichtungen" kontrollieren: jene Geräte, zu denen Smart-Meter-Besitzer festgelegt haben, dass sie bei akutem Strommangel für eine gewisse Zeit abgeschaltet werden dürfen. "Wenn dort ein Angreifer säße, könnte er eine Konfiguration verursachen, mit der viele Verbraucher gleichzeitig viel Strom nutzen oder andersherum." Das ist eines der Szenarien aus dem Roman "Blackout", der anschaulich beschreibt, wie eine Gesellschaft innerhalb weniger Tage in den Bürgerkrieg getrieben wird, wenn der Strom ausfällt.

Aus Versehen könnten vernetzte Haushaltsgeräte in den Blackout führen

Und es gibt noch eine ganz andere Schwachstelle, die von der aktuellen Zertifizierung völlig unberührt ist: das vernetzte Heim an sich. Der Markt für Smart-Home-Geräte wie Amazons Echo mit der Sprachschnittstelle Alexa oder Google Home wird vor allem von den großen Unternehmen in den USA bestimmt. "Diese umgehen die hiesige Sicherheitsinfrastruktur natürlich", sagt Greveler. Dennoch steuern sie teilweise Hausgeräte über das Internet. "Wenn man diese Geräte massenhaft als Hacker kontrollieren würde, könnte man auch den Stromverbrauch in einem Land manipulieren." Greveler bezeichnet diese Geräte als "Bypass-Infrastruktur", die man nicht aus den Augen verlieren sollte, zumal der Markt zu Monopolisierung neige: "Das ist die relevantere Gefahr als der Smart-Meter-Gateway, zumindest für die nächsten zehn Jahre."

Dass ein solches Szenario gar nicht so abwegig ist, zeigte ein Fernsehmoderator versehentlich in den USA. Er berichtete über ein Mädchen, das über Amazons Alexa ein Puppenhaus bestellt hatte und wiederholte den Satz des Mädchens: "Alexa, bestell mir ein Puppenhaus" zur Hauptsendezeit. Das interpretierten die Echo-Geräte in den Wohnzimmern der Fernsehzuschauer als Befehl und gaben die Bestellung direkt an Amazon weiter - was den Zuschauern viele Puppenhäuser und dem Fernsehsender Beschwerden einbrachte. "Wenn jemand im Fernsehen sagt "Alexa, schalte das Licht ein", hat das bei einer fünfstelligen Anzahl solcher Haushaltsgeräte in den USA durchaus Potenzial", sagt Greveler. Solche Mechanismen können ein Stromnetz in die Überlastung führen - und dann ist der Blackout nicht mehr weit.

Smart Homes erinnern immer mehr an Strafvollzug

Amazon bringt mit Echo Look ein Gerät auf den Markt, das immer zuhört und immer zusieht. Was macht diese Dauerüberwachung mit einer Gesellschaft? Von Adrian Lobe mehr ...