Startseite > Smarter World > Smart Energy > Wenn Mitarbeiter Smart Meter manipulieren

Unternehmen haften

Wenn Mitarbeiter Smart Meter manipulieren

27. Februar 2014, 11:01 Uhr | Hagen Lang

Prof. Dr. Hartmut Pohl, Geschäftsführer der softScheck GmbH, glaubt, dass sich deutsche Unternehmens-Vorstände, Aufsichtsräte und Wirtschaftsprüfer bei mangelnder Absicherung der Unternehmens-IT künftig Haftungsfragen ausgesetzt sehen.

Der Abrechnungsbetrug mit Smart Metern in Malta wirft generelle Sicherheitsfragen auf, die uns Prof. Dr. Hartmut Pohl, geschäftsführender Gesellschafter der softScheck GmbH und Sprecher des Präsidiumsarbeitskreises 'Datenschutz und IT-Sicherheit' der Gesellschaft für Informatik e.V. beantwortet.

▶ Diesen Artikel anhören

Energie&Technik: Herr Professor Pohl, der weltweit erste Abrechnungsskandal mit Smart Metern spielt sich zur Zeit in Malta ab. Sagen Sie: »I told you so«?

Professor Pohl: Ja. Und das liegt daran, dass Smart Meter intelligent sind – d.h. einen Computer enthalten mit Betriebssystem und Anwendungssoftware. Es ist ja bekannt, dass solche Geräte zur Manipulation verführen. Es ist auch beileibe nicht der erste Fall; so gab es bereits in den USA und Mexico eine ganze Reihe von Fällen. Vielleicht ist dieser Fall aber der bisher erste systematisch durchgeführte und schadensträchtigste Fall. Übrigens sind ja durchaus Missbrauchsfälle zu erwarten, bei denen eine ganze Stadt o.ä. längere Zeit oder auch wiederholt stromlos geschaltet wird; zu erwarten sind auch Sabotageangriffe gegen Wasserwerke wie Unterbrechen der Versorgung oder unzureichende Filterung! Insgesamt werden solche Angriffe stark zunehmen – von der Anzahl her und insbesondere bei den Schadenshöhen!

Energie&Technik: Jetzt waren nicht externe Hacker, sondern Mitarbeiter des Energieversorgungsunternehmens die Schuldigen. Da werden viele einwenden, dass Schutz gegen kriminelle Energie von Insidern kaum möglich ist, selbst wenn die Absicherung nach außen funktioniert.

Professor Pohl: Da muss ich vehement widersprechen: Schutz gegen kriminelle Insider ist sehr wohl möglich. Denken Sie allein an Edward Snowden! In dem Fall ist von den Behörden so ungefähr alles falsch gemacht worden, was Grundschutz und die ISO 27000-Familie fordern; wie gesagt Grundschutz – d.h. noch nicht einmal die Mindest-Sicherheitsmaßnahmen sind eingehalten worden.

Energie&Technik: Man kann schlecht sagen, »Lasst uns Smart Metering nur in Ländern einsetzen, die beim Corruption Perception Index als „very clean“ abschneiden«. Neben der charakterlichen Qualität der der Mitarbeiter, was muss, was kann auf Hard- und Softwareseite an Vorarbeit geleistet werden, damit solche Vorkommnisse minimiert werden?

Professor Pohl: Einer der Mindeststandards ist Protokollierung und Tool-gestützte Auswertung der Protokolle, damit werden Manipulationen sehr schnell erkennbar und können verfolgt werden. Allerdings weise ich ausdrücklich darauf hin, dass viele (z.T. auch zertifizierte!) Security Tools und Sicherheitsmaßnahmen angeboten werden - die Qualität dieser Sicherheitsprodukte aber selten überprüft wird – manchmal ist noch nicht einmal die Funktion ordentlich geprüft. Oder haben Sie schon einmal gehört, dass so etwas Einfaches wie die behauptete Schlüssellänge nachgeprüft wurde?

Energie&Technik: Wie beurteilen sie das Schutzniveau des hoffentlich bald implementierten Schutzprofils des Bundesamtes für Sicherheit in der Informationstechnik, sowie der Technischen Richtlinie für die Kommunikationseinheit eines intelligenten Messsystems (Smart Meter Gateway)?

Professor Pohl: Die nach der Technischen Richtlinie und dem Protection Profile des Bundesamts für Informationssicherheit (BSI) konstruierten und geprüften Smart Meter Gateways weisen ein unvergleichliches Sicherheitsniveau auf, das Angriffe verhindert, wie sie gegen Smart Meter erfolgreich waren und sind. Dieses Sicherheitsniveau wird ein bisschen durch den Begriff ‚Gateway‘ gekennzeichnet. Die geforderten Sicherheitsmechanismen (Verschlüsselung, elektronische Signatur etc.) garantieren eine sehr starke Kontrolle der Zugriffe und eine Rückweisung unberechtigter Zugriffsversuche!

Energie&Technik: Welche »Lehren« sollte man Ihrer Meinung nach aus den Malteser Vorfällen ziehen, bei Herstellern, Anwendern und beim Verordnungsgeber?

Professor Pohl: Da würde ich mir

erst einmal ansehen wollen, ob und welche Sicherheitsmaßnahmen (ISO 27000-Familie) überhaupt beim Betreiber implementiert wurden; diese sind Voraussetzung für einen ordentlichen Betrieb.
vollständiger Security Testing Process mit Threat Modeling, Static Source Code Analysis, Penetration Testing, Dynamic Analysis – Fuzzing! Dabei wären faktisch alle Sicherheitsfehler im Design (!) und in der Implementierung offenbar geworden. In diesem Fall auf Malta stellt sich die Haftungsfrage z.B. nach dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) für den Vorstand, Aufsichtsrat (!) und Wirtschaftsprüfer:
Hat das Unternehmen die IT-Systeme (inklusive Smart Meter und den Betrieb der Smart Meter) ordentlich abgesichert?
Und hat der Hersteller das Smart Meter einem vollständigen Security Testing Process unterworfen?

Anderenfalls haften zukünftig (zumindest in Deutschland nach den Plänen der Koalition) sowohl der verantwortliche Vorstand als Diensteanbieter haften und auch der Smart Meter Hersteller (wie generell alle IT-Hersteller) für die IT-Sicherheitsmängel seiner Produkte!

Energie&Technik: Herr Professor Pohl, vielen Dank für das Gespräch!