DuD Datenschutz und Datensicherheit 6 | 2012 445

AUFSÄTZE

1 Einleitung

Die beschleunigte Energiewende rückt Smart Grid und Smart Metering derzeit als Lösung vieler Probleme in den Fokus der Diskussion. Die Themen Datenschutz und Datensicherheit spie-len in diesem Umfeld eine bedeutende Rolle.

Insbesondere der Ausbau der erneuerbaren Energien stellt neue Herausforderungen an die Steuerung eines modernen Stromnet-zes. Dabei muss neuen Anforderungen von Seiten der Verbraucher (eMobility, Smart Home) und der Versorger (dezentrale Strom-erzeugung, Atomausstieg) Rechnung getragen werden. Das heu-tige Stromnetz ist dazu informationstechnisch noch nicht gerüs-tet. Zukünftig muss es viel mehr leisten. Es muss einen kurzfris-tigen, dynamischen Lastausgleich zwischen Versorgern und Ver-brauchern herstellen und gleichzeitig sicher zu beherrschen sein.

Ein leistungsfähiges Smart Grid erfordert mehr denn je sichere IT- und TK-Technologien. Das dabei entstehende komplexe und verteilte Computersystem stellt besonders hohe Anforderungen an die Sicherheit, insbesondere zum Schutz der kritischen Infra-struktur „Stromnetz“.

Zur Realisierung dieser Anforderungen existieren derzeit ledig-lich punktuelle Ansätze, wie z.B. das Schutzprofil für die Kommu-nikationseinheit eines intelligenten Messsystems für Stoff- und Ener-

giemengen1. Eine ganzheitliche Betrachtung der Rollen, Aufgaben und Prozesse unter Berücksichtigung der rechtlichen, monetären und sicherheitstechnischen Randbedingungen für ein Smart Grid fehlt jedoch.

Dieser Artikel beleuchtet die derzeit geplanten, zum Großteil rein technischen Sicherheitsmechanismen und stellt sie benötig-ten Funktionen, geplanten Prozessen sowie möglichen Angriffs-szenarien gegenüber. Dabei wird besonderer Wert auf verschie-dene Blickwinkel unterschiedlicher Angreifergruppen gelegt. Abschließend werden Ansätze, zur Entwicklung einer passen-den Smart Grid Sicherheits-Strategie skizziert, wie sie z.B. auch die VDE Trendstudie2 fordert. In die Architektur eingearbeitete Sicherheitsfunktionen müssen dabei sowohl Kosten als auch not-wendige Funktionalitäten berücksichtigen.

2 Grundlagen

Wie viel Sicherheit braucht das Grid? Was ist eigentlich Sicherheit? Hier einige populäre Meinungen: Sicherheit ist kein Produkt, sondern ein Prozess; Sicherheit ist nur so stark wie das schwächste Glied in der Kette; hundertpro-zentige Sicherheit gibt es nicht. Alles richtig, aber auch: Sicher-heit ist immer eine Kostenfrage. Oder anders: Wie viel Sicherheit erhalte ich zu welchem Preis? Preis kann dabei auch z.B. der Ver-lust von Funktionalität oder Einschränkungen im Datenschutz sein. Die seit Monaten andauernde Diskussion zur Speicherung der Verbindungsdaten im Telekommunikationsumfeld zeigt dies deutlich. Das Verbot der Speicherung der Telekommunikations-verbindungen würde die Arbeit der Ermittlungsbehörden behin-dern, argumentieren die einen, andere bangen um die Rechte des einzelnen Telefonkunden.

1 Bundesamt für Sicherheit in der Informationstechnologie: Protection Profile for the Gateway of a Smart Metering System v01.01.01(final draft) – August 2011

2 VDE VERBAND DER ELEKTROTECHNIK ELEKTRONIK INFORMATIONSTECHNIK e.V.: VDE Trendstudie – IKT Sicherheit – März 2012

Stephan Gerhager

Informationssicherheit im zukünftigen Smart Grid

Wie viel Sicherheit braucht das Smart Grid der Zukunft, wo lauern die Gefahren und was bringen die bisher entwickelten Schutzmechanismen? Datenschutz wird in Deutschland groß geschrieben. Auch das Smart Grid ist davon berührt. „Horrorszenarien“ vom gläsernen Stromkunden, dessen Fernsehgewohnheiten über den Smart Meter analysiert werden könnten, finden sich zur Genüge. Welche Vor- und Nachteile bringen „smarte“ Stromversorgungstechniken mit sich, welche Risiken ergeben sich für den Endanwender. Und wie sieht es neben dem Datenschutz mit dem Schutz der „Kritischen Infrastruktur“ – dem Stromnetz der Zukunft aus?

Dipl. Inf. (FH) Stephan Gerhager

ICB – Internet Consulting for BusinessGmbH, Mitglied der Geschäftsleitung und Leitung Geschäftsbereich Informationssicherheit & Risikomanagement

E-Mail: stephan.gerhager@informationrisk.de

446 DuD Datenschutz und Datensicherheit 6 | 2012

AUFSÄTZE

Nicht nur im Umfeld Smart Grid und Smart Meter Sicherheit gibt es selbst unter Fachleuten immer wieder viele Missverständ-nisse und Diskussionen, die auf unterschiedlichen Definitionen oder Interpretationen des Begriffs basieren. Aus diesem Grund hier zu Beginn eine Definition der relevanten Begriffe zur Ver-wendung in diesem Artikel.

Informationssicherheit

Bei der Informationssicherheit geht es neben dem technischen Schutz von IT-Systemen um das Management von Risiken bezo-gen auf schützenswerte Informationen. Schützenswerte Informa-tionen können dabei sowohl personenbezogene Informationen (Datenschutz), andere vertrauliche Informationen oder schüt-zenswerte Funktionalitäten wie z.B. ein Schaltvorgang in einem Umspannwerk sein. Eine Grundvoraussetzung der Informations-sicherheit ist, dass die schützenswerte Informationen von den je-weiligen Informationseigentümern identifiziert und klassifiziert werden. Die Informationssicherheit ist demnach weit mehr als nur die Weiterentwicklung der IT-Sicherheit.

Stellen wir uns eine mittelalterliche Burg vor. Es geht hierbei aber nicht darum, wie hoch die Burgmauern (Firewalls) sind und wo diese am besten positioniert werden (klassische IT-Sicherheit), sondern vielmehr darum, dass der Burgherr sich zunächst dar-über bewusst ist, dass er Schätze in seinem Besitz hat und diese zum zweiten auch benennen kann. Wenn er dann durch Zuhil-fenahme eines „Schatz-Sicherheits-Beraters“ auch noch weiß, wo diese gelagert werden, wer potenzielle Diebe sein könnten und deren Raubmethoden kennt, so kann er seine Restrisiken schon mal abschätzen. Je nach seinem individuellen „Risikogeschmack“ kann er nun entscheiden, ob er zusätzliche Maßnahmen ergrei-fen will. Diese Entscheidung wird von seinem Budget, also auch von den Kosten der Maßnahmen beeinflusst.

Informationssicherheit muss den Entscheidern die Risiken auf-zeigen, die auf Ihre Unternehmen wirken. Die entsprechenden Kosten von Schutzoptionen sind diesen gegenüberzustellen und Restrisiken zu identifizieren. Dabei stellen sich die ersten Fra-gen: Wer ist für das zukünftige Stromnetz in Deutschland verant-wortlich? Müssen wir bei der Diskussion der deutschen Versor-gungssicherheit unsere europäischen Nachbarn mit einbeziehen? Schließlich stabilisieren wir unser Stromnetz auch über Stromlie-ferverträge mit dem Ausland.

Smart Metering

Das Smart Metering bezeichnet den Ansatz, Stromkunden mit „intelligenten Zählern“ auszustatten. Diese besitzen die Mög-lichkeit, neben der reinen Verbrauchsmessung, den Verbrauch für verschiedene Empfänger in unterschiedlichen Detaillierun-gen zu aggregieren und über die neue Funktion des Smart Meter Gateways elektronisch zu übermitteln. Zusätzlich werden derzeit weitere Funktionen diskutiert: der Transport von Steuerbefehlen und Informationen vom Netzbetreiber oder Lieferanten über den Smart Meter zum Kunden oder die Beobachtung von Stromnetz relevanten Daten.

Der Einbau von Smart Metern wird über europäische Regelun-gen (3. Binnenmarktpaket 2009) und deutsche Gesetze (§21b ff. EnWG) seit Januar 2010 für Neubauten und grundsanierte Ge-bäude ab dem Jahr 2013 bzw. ab technischer Verfügbarkeit der Systeme vorgeschrieben.

Smart Metering stellt somit einen Teil der – notwendigen – Ba-sis Infrastruktur eines zukünftigen Smart Grids dar.

Smart Grid und Smart Market

Unter dem Schlagwort Smart Grid werden die unterschiedlichs-ten Lösungsansätze verstanden. Diese reichen von dem Ausbau des heutigen Stromnetzes zu einem Stromnetz, das eine dezent-rale Erzeugung ermöglicht, bis hin zu einem IT-gestützten Super-Grid, das in Echtzeit, vollautomatisch auf alle möglichen Netzsi-tuationen regelnd und steuernd eingreift.

Die Bundesnetzagentur hat in Ihrem Eckpunktepapier „Smart Grid“ und Smart Market“3 die Aspekte des sich veränderten Ener-gieversorgungssystems umfassend erläutert. Die dort getroffene Unterscheidung zwischen „Smart Grid“ und „Smart Market“ macht auch in der Sicherheitsbetrachtung Sinn, da damit klare Verantwortlichkeiten definiert wären. Das Smart Grid entsteht demnach aus dem heutigen Netz, das um Meß-, Steuer-, Regel- und Automatisierungstechnik angereichert wird. Es wird darin weiterhin als das natürliche Monopol beschrieben, dem Aufga-ben zugeordnet werden können, für die es einen Verantwortli-chen geben sollte. Eine solche Aufgabe wäre die Verantwortlich-keit für Sicherheit und Netzstabilität. Der häufig genannte Aus-bau zu einem „Smarten Strom Netz“ ist ein wenig unscharf, er meint das Anreichern der Verteilnetze um intelligente ITK Sys-teme. Die Transportnetze sind bereits heute „smart“.

Der Smart Market ist nach Definition der Bundesnetzagentur der Teil außerhalb der Netzthemen, in dem es um Energiemengen oder daraus abgeleitete Dienstleistung geht. Darunter fallen auch alle Überlegungen zur Energiemengenverlagerung durch variab-le Stromtarife oder Preissignale.

3 Chancen und Risiken

Beim Umgang mit Risiken im zukünftigen Smart Grid gibt es unterschiedliche Befindlichkeiten. Je nach Verantwortlichkeit rückt dabei entweder der Datenschutz oder die Informationssi-cherheit in den Vordergrund.

Neue Funktionen im Smart Grid bieten aber allen Beteiligten auch neue Chancen. Verbrauchswerte zu optimieren und damit Kosten zu sparen kommt nicht zuletzt der Umwelt zugute. Allein diese Tatsachte ist es wert, Risiken und die Chancen gegenüber zu stellen und gegeneinander abzuwägen.

Smart Metering

Die Hauptrisiken im Smart Metering Umfeld sind die Fäl-schung von Messwerten und die Gefahren, die von einem Ver-lust von Details zum Stromverbrauch einer Person bzw. eines Haushalts ausgehen.

Im Smart Metering lässt die Profilbildung des Energiever-brauchs lt. Meinung verschiedener Landeszentren für Daten-schutz einen Rückschluss auf die schutzwürdigen Lebensge-wohnheiten der Verbraucher zu. Im Gegensatz dazu argumen-tierten die Befürworter des Smart Grid, diese Messwerte seien

3 Bundesnetzagentur: „Smart Grid“ und „Smart Market“ Eckpunktepapier der Bundesnetzagentur zu den Aspekten des sich verändernden Energieversor-gungssystems – Dezember 2011

DuD Datenschutz und Datensicherheit 6 | 2012 447

AUFSÄTZE

dringend notwendig, um die Stabilität und Qualität im zukünf-tigen Stromnetz gewährleisten zu können.

Betrachtet man die beiden Aussagen genauer, so müssen sich diese nicht wiedersprechen. Die Lösung liegt in der Detaillierung der Informationen. Sowohl der Stromkunde als auch der Ener-gieversorger haben ein großes Interesse an der Genauigkeit und Nachvollziehbarkeit der Messwerte des Stromverbrauchs (Integ-rität der Daten). Der Kunde möchte darüber hinaus durch einen präzisen Lastgang, gemessen in möglichst kurzen Abständen, sei-nen Verbrauch optimieren und damit Stromkosten senken. Die Abrechnungsstelle des Energieversorgers benötigt diesen de-taillierten Lastgang für die Rechnungsstellung jedoch nicht. Ihr reicht, je nach Tarifmodell, oft schon ein Summenwert der Ver-bräuche z.B. des letzten Monats. Dafür muss dieser Verbrauchs-wert eindeutig einem Kunden zugeordnet werden können.

Vorausgesetzt, das zukünftige Smart Grid soll über die Last-gänge der Smart Meter gesteuert und geregelt werden, so wür-de der Netzbetreiber einen detaillierteren Lastgang benötigen. Er muss diesen aber im Gegensatz zum detaillierten Lastgang des Kunden nicht einem Verbraucher, sondern lediglich einem Mess-punkt zuordnen können. Das heißt durch Schärfung der Profile und Anonymisierung bzw. Pseudonymisierung können die meis-ten Datenschutzanforderungen über entsprechende Berechtigun-gen auf unterschiedliche Sichten des gleichen Stromverbrauchs erfüllt werden. Dieser Ansatz wird mit den Rollen und Access Control Lists auch im Schutzprofil und der technischen Richtli-nie4 des Bundesamtes für Sicherheit verfolgt.

Smart Grid

Die bedeutendsten Risiken im Zusammenhang mit dem Smart Grid betreffen, im Gegensatz zu Smart Metering Risiken, die Ver-fügbarkeit des Stromnetzes.

Ein länger andauernder, flächendeckender Stromausfall hätte massive Auswirkungen auf das öffentliche Leben und beinhaltet Risiken für die Bevölkerung. Details dazu zeigt u.a. der Bericht des Ausschusses für Bildung, Forschung und Technikfolgenab-schätzung in der Drucksache 17/5672 des Deutschen Bundesta-ges5. Der Bericht kommt zu dem Fazit, „dass bereits nach wenigen Tagen im betroffenen Gebiet die flächendeckende und bedarfs-gerechte Versorgung der Bevölkerung mit (lebens)notwendigen Gütern und Dienstleistungen nicht mehr sicherzustellen ist. Die öffentliche Sicherheit ist gefährdet, der grundgesetzlich veran-kerten Schutzpflicht für Leib und Leben seiner Bürger kann der Staat nicht mehr gerecht werden.“

Dem gegenüber stehen die Chancen eines Smart Grids, ohne das die Energiewende und der damit einhergehende Ausbau der Erneuerbaren Energien nicht realisierbar wären.

4 Bundesamt für Sicherheit in der Informationstechnologie: TR-03109 Anfor-derungen an die Interoperabilität der Kommunikationseinheit eines intelligen-ten Messsystems für Stoff und Energiemengen

5 Drucksache 17/5672 des Deutschen Bundestages. Bericht des Ausschus-ses für Bildung, Forschung und Technikfol-genabschätzung – „Gefährdung und Verletzbarkeit moderner Gesellschaf-ten – am Beispiel eines großräumigen und langandauernden Ausfalls der Stromversorgung“ – 27.04.2011

4 Mögliche Angreifer

Um die Risiken und deren Eintrittswahrscheinlichkeit besser ab-schätzen zu können, gilt es potenzielle Angreifer, deren Interes-sen und Ziele sowie deren Möglichkeiten zu kennen.

Auch ein Angreifer betreibt eine Art von „Risikomanage-ment“. Er muss das Ziel seines Angriffs mit dem Risiko abwägen erwischt zu werden. Ein intelligenter Angreifer kennt die Schutz-maßnahmen des Zielsystems sehr genau und wird sich für den Angriff immer das schwächste Glied in der Sicherheitskette he-raussuchen. Auch ein Angreifer fragt nach dem ROI und wird nur viel Energie in einen Angriff legen, wenn sein ROI entspre-chend hoch ist.

Die oft zitierten Angriffe auf einen Smart Meter, wie z.B. die über den im Smart Meter gespeicherten Lastgang das Verhalten eines Energiekunden auszuspionieren, werden damit ebenso un-wahrscheinlich wie der Hackerangriff auf einen modernen Kühl-schrank. Vieles ist wesentlich einfacher durch herkömmliches Observieren des Hauses (z.B. an den geöffneten Rollläden oder dem ein- oder ausgeschalteten Licht) in Erfahrung zu bringen. Manches ist für einen Angreifer auch nicht lukrativ genug. Was hätte er davon, einen Kühlschrank zu übernehmen oder vielleicht abzuschalten? Ein solcher Angriff würde höchstens von nach An-erkennung suchenden Cyberchaoten in Erwägung gezogen wer-den, falls das medienwirksam dargestellt werden könnte.

Aber welche Angreifergruppen mit welchen Zielen erscheinen realistisch?

Stromdiebe

Der Stromdieb der Zukunft müsste nicht, wie in heutigen Angrif-fen auf die Stromzähler, den Zähler selbst manipulieren. Er könn-te versuchen, den zum Lieferanten übermittelten Verbrauchswert vor bzw. während der Übertragung digital zu manipulieren. Dies macht den Angriff weniger aufwändig und ist für den Angreifer ohne große Risiken, da er die Anonymität des Internets ausnut-zen und aus der Ferne angreifen könnte.

Hobby-Hacker

Im Gegensatz zu den analogen Manipulationen am Messgerät ist ein digitaler Angriff zur Manipulation des digitalen Messwertes sehr einfach reproduzierbar. Aus diesem Grund wäre es denk-bar, dass ein Angreifer, der eine Schwachstelle im Smart Meter eines Herstellers gefunden hat diese dokumentiert und an Inter-essierte verkauft. Würde ein solcher Angreifer z.B. eine Firmwa-re-Änderung des Zählers zur „Halbierung“ der Stromkosten in-klusive Anleitung zur „Installation“ anbieten, so wäre ein Busi-ness Case für alle Beteiligten gegeben. Der Hacker verdient pro Download der Firmware und der „Kunde“ jeden Monat mit der Stromrechnung.

Wozu das führt und wie schwer es ist, solche Einbrüche zu ver-hindern, zeigen analoge Beispiele z.B. aus dem Pay-TV Bereich oder auch die Jail-Break Diskussionen der Apple iPhone Gerä-te. Wenn selbst einer der größten Computerhersteller der Welt nicht in der Lage ist, bei weit höheren Entwicklungs- und Sicher-heitskosten solche Angriffe zu verhindern, so ist nicht zu erwar-ten, dass Messgerätehersteller, diese Art von Angriffen verhin-dern werden können.

448 DuD Datenschutz und Datensicherheit 6 | 2012

AUFSÄTZE

Der Cyber-Kriminelle

Genügend Know-How vorausgesetzt, könnte ein solcher An-greifer, nach gründlicher Analyse der Funktionsweise eines Me-ters bzw. Gateways, versuchen über die Netzwerkverbindung des Gateways dahinterliegende Systeme anzugreifen. Der Meter wä-re in einem solchen Fall nur der Einstiegspunkt in das Auslese-Netzwerk des Stromversorgers oder des Metering Service Pro-viders.

Neben den rein technischen Angriffen wären aber auch kom-binierte Angriffe auf die Prozesse eines zukünftigen Smart Grids denkbar. Ein Angreifer könnte z.B. die Möglichkeit nutzen, über den Strompreis eine sehr große Menge an Stromkunden zu be-einflussen. Zu Spitzenlastzeiten könnte er zusätzliche Verbrau-cher „einschalten“ und somit eine Überlast-Situation erzeugen.

Dazu ein exemplarisches Szenario im zukünftigen Stromnetz:Im einem stark vereinfachten Fall eines zukünftigen Smart

Grids könnte der Lieferant / Versorger über den Strompreis das Verhalten der Verbraucher „beeinflussen“. In Wirklichkeit wird nicht der Verbraucher selbst, sondern sein intelligentes Haus voll-automatisiert auf den Strompreis reagieren. Netz und Versorger müssten sich in o.g. Beispiel über Kapazitätsengpässe (Netz) bzw. Mengenengpässe (Versorger) abstimmen und könnten darüber drei fiktive Zustände am Meter definieren:

Zustand 1: NORMAL. Aus Kundensicht: Der Einkaufs- bzw. der Verkaufsstrompreis liegen in einem Mittel. Aus Sicht der Stromversorgung: Das Stromnetz ist optimal ausgelastet.

Zustand 2: GRÜN. Aus Kundensicht: Der Einkaufsstrom-preis ist niedrig, der Verkaufsstrompreis ist hoch. Aus Sicht der Stromversorgung: Es ist zu viel Strom im Netz vorhanden.

Zustand 3: ROT. Aus Kundensicht: Der Einkaufsstrompreis ist hoch, der Verkaufsstrompreis ist niedrig. Aus Sicht der Strom-versorgung: Es ist zu wenig Strom im Netz vorhanden.Über die Steuerung dieser drei Zustände kann der Netzbetrei-

ber / Versorger z.B. bei einer Überversorgung im Netz durch Ak-tivierung des GRÜNEN Zustands am Meter, intelligente Häu-ser dazu bewegen, z.B. das Elektroauto zu laden und somit das Stromnetz, bzw. den Teil mit der Überversorgung gezielt zu sta-bilisieren.

In diesem Szenario könnte ein Hacker, dem hunderte von Haushalten seine modifizierte Version der Firmware abgekauft haben, um Stromkosten zu sparen, eine weitere Funktion in die-se Software eingebaut haben. Neben der „Sparfunktion“ für den Stromkunden hätte er damit eine versteckte Funktion zur Kont-rolle der Zustände am Meter. Mit dieser „Fernsteuerung“ für die Zustände an vielen Metern könnte der Angreifer in der oben be-schriebenen Überlastsituation zusätzliche Erzeuger „aktivieren“ und Verbraucher deaktivieren (indem er statt dem GRÜNEN Zu-stand den ROTEN aktiviert) und so den bereits labilen Teil des Stromnetzes weiter destabilisieren.

Weitere Angreifer

Gelingt es nicht, durch geeignete Sicherheitsmechanismen die oben genannten, beispielhaften Angriffe auf das zukünftige Stromnetz zu verhindern, so erübrigt sich, über die Möglichkei-ten von Nachrichtendiensten, Terroristen oder ähnlichen Grup-pen mit noch mehr Möglichkeiten nachzudenken.

5 Heutige Maßnahmen

Das Hauptaugenmerk bezüglich Maßnahmen zu Absicherung des Smart Metering gegen Cyberangriffe liegt im Moment auf dem Schutzprofil für die Kommunikationseinheit eines intelligen-ten Messsystems für Stoff- und Energiemengen des Bundesamtes für Sicherheit in der Informationstechnologie (BSI).

Die Prüfung eines Gateways nach Common Criteria EAL 4+ hebt die gefühlte Sicherheit des Meter Gateways auf eine Stufe mit Smart Cards namhafter Hersteller. Da ein Smart Meter einen wesentlich größeren Funktionsumfang als eine Smart Card hat, stellt sich grundsätzlich die Frage, ob dieser Ansatz unter Kosten-gesichtspunkten sinnvoll ist. Ein Smart Meter könnte nach der aktuellen Vorgabe des PP im Kern aus einem embedded Linux Kernel mit vielen Schnittstellen wie Netzwerk, Funk, Sensorik etc. bestehen. Der Aufwand einen solchen Computer nach EAL 4+ zu überprüfen muss dem Sicherheitsmehrgewinn bzw. dem Risiko gegenübergestellt werden, bei einer solchen Überprüfung maßgebliche Lücken zu übersehen.

Ein weiterer Aspekt in diesem Umfeld sind die Kosten dieser Vorgehensweise. Der Aufwand einer solchen Erstüberprüfung eines Gerätes wird momentan auf ein Mannjahr geschätzt. Eine Zertifizierung wird nach diesen Schätzungen im Moment mit ca. 2 Mannmonaten beziffert. Wenn man bedenkt, dass jede Än-derung in der Software eine solche Re-Zertifizierung notwendig machen würde, so wird die vom Bundesministerium für Wirt-schaft und Technologie zum Ende des Protection Profile (PP) Projekts angekündigte Kosten-Nutzenanalyse mit Spannung er-wartet.

Dennoch bleiben auch fachlich einige Fragestellungen in der aktuellen Fassung des PP offen. Es soll hier nur exemplarisch auf zwei solcher Punkte eingegangen werden.

Die erste Auffälligkeit im aktuellen PP ist die Annahme der physikalischen Sicherheit der Umgebung des Gateways bzw. die Folgerungen hieraus. In der „Assumption A.PhysicalProtection“ des PP wird angenommen, das Gateway wird in einer nicht öf-fentlichen Umgebung betrieben, die einen Basis-Schutz bietet. Diese Annahme ist grundsätzlich richtig, da ein Gateway im Kel-ler eines Hauses einen gewissen Schutz erfährt. Die daraus abge-leitete Folgerung, in Fußnote 27 des PP, jedoch ist nicht nachvoll-ziehbar. Diese besagt, dass eine One-Box-Solution, also eine Lö-sung, in der das Messgerät und das Gateway unter einem gemein-samen Kunststoffdeckel sitzen, aufgrund des physischen Grund-schutzes des Gebäudes sicher wäre und damit die Kommunika-tion nicht verschlüsselt werden muss. Der erste Schritt für einen Hacker in einem Angriffszyklus auf eine Metering Infrastruktur wäre die genaue Analyse der Einzelsysteme. Ein Angreifer müsste also zuerst die Funktionsweise des Gateways und des Meters ver-stehen. Die Schlussfolgerung des BSI macht diese Analyse in der One-Box-Solution für alle o.g. Angreifer Klassen einfach mög-lich, da ein Kunststoffdeckel die einzige Hürde ist, die zu über-winden ist, um die interne Kommunikation abzuhören. Ein An-greifer müsste sich dazu lediglich Zugang zu einer One-Box-So-lution beschaffen. Dies sollte z.B. in einem Mietshaus mit mehr als 20 Parteien kein Problem darstellen. Auch die Argumenta-tion, eine Plombe oder eine Sicherung gegen unbefugtes Öffnen des Gehäusedeckels bieten ausreichenden Schutz, scheint nicht schlüssig, da bei einer Two-Box-Solution – bei einer Trennung von Messgerät und Gateway in zwei separate Gehäuse – eine Ver-schlüsselung gefordert wird. Dies würde bedeuten, dass die Lei-

DuD Datenschutz und Datensicherheit 6 | 2012 449

AUFSÄTZE

terbahn unter dem Gehäusedeckel einen ungleich höheren Schutz erfährt als z.B. das Kupfer unter der Kunststoffisolierung des Ka-bels. Konsequent müsste eine Verschlüsselung in beiden Fällen gefordert werden. Dennoch sollte zusätzlich aufgrund der bereits erwähnten höheren Funktionalität des Smart Meters – er ist ein Eingang in das Netzwerk des zukünftigen Smart Grids – drin-gend untersucht werden, ob die Schutzmechanismen der heuti-gen Meter (Kunststoffgehäuse mit Bleiplombierung) für das neu entstehende Szenario noch adäquat sind. Gerade die Plombe ist im zukünftigen Szenario wirkungslos, wenn niemand mehr vor Ort den Meter ablesen muss.

Die zweite exemplarische Auffälligkeit im PP ist die Forderung zur Verwendung eines HSM, eines Hardware Security Modules im Gateway. Ein HSM schützt zweifelsfrei das für die Verschlüs-selung notwendige Schlüsselmaterial gegen unberechtigten Zu-griff. Aber: Ist das der Schutz der im Gateway benötigt wird?In den bisherigen Einsatzszenarien eines HSM oder einer Smart Card wird immer der Zugriff auf das Schlüsselmaterial geschützt. Eine Verwendung des Schlüsselmaterials ist dabei nur möglich, wenn sich der Benutzer mit seiner PIN gegenüber dem HSM au-thentifiziert. In einer „machine to machine Kommunikation“ ist das allerdings so nicht realisierbar. Im Einsatzszenario des PP würde also der Kernel des Gateways sich gegenüber des HSM authentifizieren. Das erzeugt allerdings ein Henne-Ei-Problem. Womit soll sich der Kernel gegenüber dem HSM authentifizieren? Mit einer PIN oder einem Schlüssel?

Und die weitaus wichtigere Frage: Wo soll diese PIN abgelegt werden? Im ungeschützten Speicher? In einem weiterem HSM? Fakt ist, gelingt es einem Angreifer den Kernel eines Smart Me-ters unter seine Kontrolle zu bringen, so hat er auch Zugriff auf die Signatur oder Entschlüsselungsfunktion, egal ob im Smart Meter eine HSM verwendet wird oder nicht. Der einzige Unter-schied entstünde, falls ein Angreifer die Schlüssel eines Meters stehlen wollte – dies wäre bei einem Meter mit HSM nicht ohne weiteres möglich. Alle oben beschriebenen Angriffsszenarien ba-sieren aber nicht auf dem Diebstahl des Schlüssels, sondern ledig-lich auf dem Signieren oder Ver- bzw. Entschlüsseln eines Netz-werkpaketes. Solange der Kernel also diese Funktionen besitzt, ist der Zertifikatsdiebstahl kein Ziel für einen Angreifer.

Bliebe noch die Einbindung eines zweiten Faktors. Aber auch eine Einbindung des Users, im Falle des PP also des Stromkun-den, ist nicht realisierbar. So müsste dieser in einem bestimm-ten Intervall die PIN zur Übermittlung der Verbrauchsdaten, am Gateway eingeben. Selbst Stromkunden mit hohem Sicherheits-bewusstsein wären wohl kaum bereit, zur sicheren Ablesung ihres Stromversorgers nachts aufzustehen, um im Keller ihre PIN am Meter einzugeben.

Diese beiden Beispiele sollen die Grundproblematik der aktuel-len Sicherheitsdiskussion im Smart Grid verdeutlichen. So lange die genauen Abläufe und Verantwortlichkeiten im zukünftigen Smart Grid nicht feststehen, ist es nicht möglich adäquate Sicher-heitsmechanismen zu entwickeln. Das Bundesamt für Informa-tionssicherheit hat damit eine wohl unlösbare Aufgabe bekom-men. Nicht nur, dass die Beauftragung zur Erstellung des Protec-tion Profiles „nur“ das Smart Metering betrifft. Sondern das BSI muss darüber hinaus Sicherheit für Prozesse und Technologien entwickeln, die heute noch nicht im Detail bekannt sind. Abbil-dung 1 zeigt ein Bild, das diese Situation gelungen darstellt. Das BSI hat heute die Aufgabe, Sicherheit für den Smart Meter (die grüne Stahltür) zu definieren. Versetzen wir uns in die Lage des BSI. Wir können nun über Abstände der Gitterstäbe, verwende-te Materialen, Anzahl der Schlösser, Typ der Schlösser und vie-les mehr diskutieren. Wissen wir aber nicht, in welchem Umfeld die Tür verwendet wird, kann jeder dieser Entscheidungen falsch oder richtig sein.

6 Lösungsansätze

Eine funktionieren Sicherheitsarchitektur kann nur in enger Zusammenarbeit unterschiedlicher Bereiche entwickelt werden. Nur wenn IT- und Kommunikationsspezialisten, IT-Architekten, Netzbetreiber, Energiewissenschaftler und Sicherheitsspezialis-ten gemeinsam an einer Smart Grid Architektur arbeiten, in der neben der Funktionalität und Kosten auch die Sicherheit integ-rale Bestandteile sind, kann eine Lösung geschaffen werden, die kritische Bereiche schützt. Das Gesamtsystem darf aber nur so komplex und aufwändig werden, dass es noch effizient betreib-bar bleibt. Eine in die Funktionalität und Architektur eingearbei-tete Sicherheit (Security by Design) erfordert eine sehr genaue Kenntnis der heutigen und der zukünftigen Prozesse. Da wir uns derzeit im Anfangsstadium der Entwicklung eines Smart Grids oder Smart Markets befinden, muss ein Grundsatz bei der Ent-wicklung die Flexibilität einer solchen Lösung sein. Diese sollte die bereits bekannten Anforderungen so weit wie möglich erfül-len, zukünftige Richtungsänderungen aber nicht von vorne he-rein ausschließen.

Es bietet sich an, das Know-how der Abläufe aus der Energie-wirtschaft gemeinsam mit Best Practices aus der IT- und Kom-munikationsbranche und der Kenntnis von Angriffsszenarien, Bedrohungen und den daraus abgeleiteten Risiken für die In-formationssicherheit zu nutzen. Ziel ist ein gemeinsames Mo-dell eines Smart Grids. In diesem Modell können kritische In-formationen identifiziert und risikominimierende Mechanis-men erarbeitet werden. Diese Mechanismen müssen nicht zwin-gend technischer Natur sein. Soll das Risiko eines Angriffs mi-nimiert werden, wäre es z.B. auch möglich am ROI des Angrei-fers anzusetzen. Ein Möglichkeit im Umfeld des Smart Meter wä-re, über die Funktionalität des Meters zu diskutieren. Ein großes

Abbildung 1 | Ganzheitliche Sicherheitsbetrachtung (Photo: Tobias Hellsten/ToHell)

450 DuD Datenschutz und Datensicherheit 6 | 2012

AUFSÄTZE

Angriffspotenzial geht von einer Funktionalität „Remote Switch Off“ aus. Ein Meter Hersteller wird sich heute, gerade wegen der Sicherheitsdiskussionen in Deutschland und aufgrund der feh-lenden Planungssicherheit und Vorgaben, auf die ausländischen Märkte konzentrieren. Damit werden Funktionalitäten, die im Ausland implementiert sind, für die derzeit wenigen deutschen Modelle unbemerkt adaptiert, ohne deren Notwendigkeit für den deutschen Markt zu überprüfen. Die Abschaltung eines Strom-anschlusses aus der Ferne ist eine solche Funktion. Solch einen Steuerbefehl würde Angreifern verschiedenster Klassen ein in-teressantes Ziel geben – angefangen von Vandalismus bis hin zu gezielten Angriffen auf die Stromversorgung. Gelänge es einem Angreifer, diese Abschaltmöglichkeit in seine Gewalt zu bringen, könnte er in einer Überlastsituation gezielt ganze Haushalte und die darin aktivierten Verbraucher abschalten und somit zumin-dest Teilnetze weiter destabilisieren. Auch diesem Risiko müsste man den Nutzen und die Notwendigkeit einer Abschaltfunktion gegenüberstellen. Der Verantwortliche für das deutsche Strom-netz, hätte man ihn identifiziert, käme dann eventuell zu einer Entscheidung, die Funktion in einer ersten Version von Smart Metern nicht zu implementieren. In einem evolutionären Prozess könnten, sofern notwendig, neben Erweiterungen im Smart Grid, auch die in der ersten Generation bewusst weggelassene Funk-tionen nach den ersten erfolgreichen „Gehversuchen im Smart Grid“ ergänzt werden.

Eine weiteres Bespiel, Smart Meter für Angreifer uninteressan-ter zu machen, wäre z.B. die Meter zu individualisieren, so dass

ein erfolgreicher Angriff auf einen Meter nicht auf einen ande-ren reproduzierbar ist. Hätte ein jeder Meter eine digitale Identi-tät, so könnte man die Firmware je nach Initialisierungsprozess direkt mit dieser Identität verbinden. Und nein, es müsste nicht gleich wieder ein HSM dazu verwendet werden. Muss ein Ha-cker vor einem erfolgreichen Angriff erst einmal alle Meter phy-sisch erreichen, sucht sich diese, von Natur aus eher bequeme Spe-zies, die sich nur in Notsituationen vom Rechner entfernt, höchst-wahrscheinlich einen anderen Angriffspunkt.

Auch wenn ein erfolgreicher Angriff durch Technologie am Meter nicht gänzlich verhindern werden kann, so kann z.B. durch zusätzliche Plausibilisierungsmaßnahmen beim Stromverbrauch möglichen Ungereimtheiten im Verbrauch auf die Spur gekom-men werden. Diese Maßnahmen sind im Übrigen im EnWG §21 g (3) ausdrücklich vorgesehen.

Auch die oben genannten Methoden können gezielte Angriffe nicht gänzlich verhindern. Sie machen einen erfolgreichen An-griff aber um ein vielfaches schwerer. Welche dieser Methoden besser geeignet sind oder welche evtl. den Betrieb oder gewoll-te Prozesse behindern, lässt sich erst abschätzen, wenn diese zu-mindest im Groben bekannt sind.

Die Hauptaufgabenstellung, um die richtige Minimalfunktio-nalität für das Smart Grid der nahen Zukunft zu finden, wird da-rin liegen, die zukünftigen Funktionen klar voneinander abzu-trennen. Abbildung 2 zeigt eine schematische Darstellung ver-schiedener Teilnehmer und deren Funktionen im Smart Grid. Nur wenn diese Funktionen klar definiert sind, kann daraus pro

Abbildung 2 | Rollen und Funktionen um das Metering Gateway

DuD Datenschutz und Datensicherheit 6 | 2012 451

AUFSÄTZE

Funktion ein Schutzbedarf ermittelt werden. Mit Hilfe einer Risi-koanalyse, der Kenntnis der Angriffsszenarien, der Einschätzung von potenziellen Schäden und Risiken können technische, aber auch funktionale oder prozessuale Gegenmaßnahmen entwickelt werden. Eine detaillierte Beschreibung der unterschiedlichen Funktionen würde diesen Rahmen sprengen. Hat dieser Artikel Ihr Interesse für Informationssicherheit im Smart Grid geweckt, so finden Sie Details zu den genannten Funktionen mit dem je-weiligen Schutzbedarf, Angriffsszenarien, möglichen Maßnah-men zur Risikominimierung sowie Rest-Risiken im Whitepaper zur „Informationssicherheit im zukünftigen Smart Grid“6.

7 Fazit

Am Beispiel der Mittelalterlichen Burg muss zur Entwicklung eines tragfähigen Konzeptes, zuerst versucht werden, den Burg-herren des Smart Grids zu identifizieren. Danach ist es wichtig die relevanten Gelehrten aus den verschiedenen Zünften zusammen zu bringen. Diese erarbeiten aus der Vision Smart Grid und Smart Market eine erste Version, eines anfänglich „nur“ teilweise auto-matisierten Stromnetzes, das sich evolutionär in ein Smart Grid entwickeln wird. Wenn es gelingt, die darin enthaltenen Risi-ken transparent und auch für einen Nicht-IT-Experten verständ-

6 Stephan Gerhager: Whitepaper: Information Security within the Future Smart Grid – Juni 2012 http://www.securesmartmeter.de/publications/

lich darzustellen, besteht in Verbindung mit einem vernünftigen Business Case für den Stromkunden eine gute Chance, diesen zum Einsatz eines Smart Meters zu überzeugen.

Beispielsweise nutzen die Social Netzwerk Plattform Facebook immer noch viele User, obwohl alle Datenschützer des Landes relativ klare Statements dazu abgegeben haben. Es ist anzuneh-men, dass der Anwender trotz der ihm meist bekannten Risiken für sich einen Mehrwert in der Nutzung der Plattform sieht, wenn auch mit einigen Einschränkungen und Vorsichtsmaßnahmen.

Für Das Smart Grid bzw. die Smart Meter bedeutet das: Soll-te sich für den Haushaltskunden ein echter Nutzen ergeben, z.B. weil er durch Stromverbrauch zur richtigen Zeit Energie und da-mit bares Geld sparen kann, so wird er auch gerne einen Smart Meter einsetzen. Immer unter der Voraussetzung, dass ein gewis-ser Grundschutz neben der Transparenz gegeben ist.

In Betrachtung der eigenen Stromrechnung heute, ist das Ein-sparpotential begrenzt. Damit ist auch der Preis, den ein Kunde für einen Smart Meter und die darin enthaltene Sicherheit aus-geben immer zu hoch, wenn kein individueller Vorteil damit ver-bunden ist. Dies muss auch bei der Entwicklung von Sicherheits-architekturen beachtet werden, um nicht etwas zu entwickeln, was zwar sicher ist, aber an der Realität vorbei entwickelt wurde und keine Käufer findet. Gelingt es aber einheitliche Sicherheits-funktionen für alle Teilbereiche des Smart Grids wiederzuver-wenden, so verteilen sich diese Kosten über alle Bereiche.

Thomas HutzschenreuterAllgemeine BetriebswirtschaftslehreGrundlagen mit zahlreichen Praxisbeispielen

4., überarb. u. erw. Aufl. 2011. XXVIII, 481 S. Br. EUR 29,95ISBN 978-3-8349-3040-8Einführung in die Betriebswirtschaftslehre, die die Dynamik von Unternehmen und Märkten in den Mittelpunkt der Betrachtung stellt. Teil I stellt Unternehmen und Märkte sowie die Aufgaben der Unternehmensführung in dynamischer Perspektive vor. Teil II schließt die Darstellung von Managementfragen in den betrieblichen Grundfunktionen an. Teil III be-leuchtet funktionsübergreifende Fragen von Strategie, Innovation und Organisation. In der 4. Auflage wurden alle Kapitel überarbeitet und erweitert.

Mit zahlreichen Unternehmensbeispielen und Infoboxen zur Veranschaulichung und Vertiefung

www.wirtschaftslexikon.gabler.de Jetzt online, frei verfügbar!

springer-gabler.de

Änd

erun

gen

vorb

ehal

ten.

Erh

ältli

ch im

Buc

hhan

del

od

er b

eim

Ver

lag.

Einfach bestellen: SpringerDE-service@springer.com Telefon +49 (0)6221 / 3 45 – 4301