Smart Metering: Forscher sehen Verletzung der Privatsphäre

Dieser Artikel ist auch verfügbar auf:
Englisch: Researchers say smart meter technology is privacy intrusive

Unter dem Titel "Smart Hacking for Privacy" haben zwei deutsche Forscher auf dem 28. Chaos Communication Congress, der von 27. bis 30. Dezember 2011 stattgefunden hat, einen Vortrag über die Auswirkungen von "intelligenten" Stromzählern (Smart Meter) auf die Privatsphäre gehalten.

Diese in Wohnungen und Eigenheimen installierten Messgeräte sammeln Daten über den Energieverbrauch. Die beiden Forscher haben sich bei Discovergy, einem unabhängigen Anbieter dieser Smart Meter, angemeldet und wollten feststellen, wie sicher die Geräte sind und welche Informationen sich aus den gesammelten Daten ableiten lassen.

Laut der Website von Discovergy nutzt das Webinterface für den Zugang zu den Verbrauchsdaten HTTPS, um den Schutz der Daten zu gewährleisten. Die an Discovergy übermittelten Daten werden verschlüsselt, um Manipulationen zu verhindern. Den Angaben auf der Website von Discovergy zufolge sind diese Aussagen von unabhängigen Experten bestätigt worden.

Nach der Präsentation am 30. Dezember sind diese Angaben aber von der Website de Unternehmens verschwunden. Es hat sich herausgestellt, dass das SSL Zertifikat der Seite falsch konfiguriert war und eine ungültige Zertifikatswarnung ausgegeben hat. Die Daten wurden daraufhin an die HTTP URL weitergeleitet und das Passwort im Klartext via Internet weitergegeben.

Die Forscher fanden auch heraus, dass der Datenverkehr nicht verschlüsselt und deshalb leicht abzufangen war. Außerdem konnten sie nachweisen, dass Daten über die gesamte Betriebsdauer des Messgeräts auf den Servers von Discovergy gespeichert blieben.

Eine der Hauptsorgen betraf die Messung des Stromverbrauchs in Zwei-Sekunden-Intervallen. Somit können die Geräte geringste Änderungen im Energieverbrauch feststellen, etwa die unterschiedliche Helligkeit verschiedener Szenen einer Fernsehshow oder eines auf dem TV-Gerät abgespielten Films. Die Forscher sind überzeugt davon, dass die Messung im Zwei-Sekunden-Takt für die vom Smart-Meter-Anbieter angegebenen Zwecke unnötig ist und die Privatsphäre außerdem zu sehr beeinträchtigt, weil die Messdaten sehr detaillierte Rückschlüsse zulassen.

"Leider können die Smart Meter zur Überwachung des Verbraucherverhaltens eingesetzt werden, was zu einem beispiellosen Eingriff in die Privatsphäre der Konsument führt. Hoch-auflösende Energieverbrauchsdaten werden an den Energieversorger übermittelt. Damit wird eine aufdringliche Erhebung und Kontrolle der einzelnen Geräte in den betreffenden Haushalten (z.B. TV-Gerät, Kühlschrank, Toaster, Herd)," so die Forscher in einer Stellungnahme im Vorfeld ihrer Präsentation.

Nikolaus Starzacher, Geschäftsführer von Discovergy, erklärte, die Verbrauchsdaten würden unter anderem deshalb im Zwei-Sekunden-Takt erhoben, um Kunden als Serviceleistung benachrichtigen zu können, wenn sie beispielsweise bei Verlassen des Hauses vergessen haben, das Bügeleisen oder ein anderes Haushaltsgerät abzudrehen.

Die Forscher wiesen außerdem darauf hin, dass es ihnen gelungen ist, dem Anbieter falsche Angaben über ihren Energieverbrauch über das unverschlüsselte Discovergy Netzwerk zu übermitteln. Das bedeutet, dass die Verbraucher "die Angaben über die verbrauchte Energie, die zur Verrechnung dienen, potentiell fälschen" können.

Nach Meinung von Ross Anderson, Professor für Sicherheitstechnik am University of Cambridge Computer Laboratory, laufen die Pläne der EU und des Vereinigten Königreichs zur Installation von Smart Metern darauf hinaus, "zu einem weiteren IT-Desaster im öffentlichen Sektor zu werden". In einem gemeinsamen mit seinem Kollegen erstellten Papier warnt Anderson vor der Angreifbarkeit der "intelligenten" Stromzähler, die es Hackern ermöglichen, das System an jenem Punkt anzugreifen, wo die Messdaten gesammelt werden, und die von dort aus sogar die Energieversorgung für "Millionen von Haushalten" unterbrechen könnten.

"Jedes dieser Messegeräte kann aus der Entfernung abgeschaltet werden, seine dessen Software kann ferngesteuert beeinflusst werden und die Geräte besitzen komplexe Funktionalitäten. Die Einführung von Hunderten Millionen solcher Messgeräte in Nordamerika und Europa im Laufe der nächsten zehn Jahre schafft daher eine schockierende Verwundbarkeit," so Anderson. Und weiter: "Ein Angreifer, der die Kontrolle über die Einrichtungen oder die Messgräte direkt übernimmt, kann einen weitreichenden Ausfall der Energieversorgung verursachen; gleiches ist auch im Falle eines Softwarefehlers möglich."

Anderson glaubt, die Regulierungsbehörden hätten inzwischen begonnen, das Problem zu verstehen. Mögliche Lösungsansätze, die diskutiert werden, sind eine "geteilte Kontrolle, wie sie im nuklearen Beireich bei der Befehlsausgabe und der Aufsicht üblich ist; Backup-Schlüssel wie sie bei Microsoft Windows verwendet werden; Mechanismen zur Übertragungsbegrenzung (Rate Limiting), um im Falle eines Angriffs das Ausmaß des Schadens einschränken zu können; und Einschränkungen des Betriebs (Local Override) zur Abschwächung der Effekte."

* Smart meter hacking can disclose which TV shows and movies you watch (8.01.2012)
* Smart Hacking for Privacy (16.01.2012)
* Smart meter technology is privacy intrusive, researchers claim (11.01.2012)