Smart Meter und die Infrastruktur hinter ihnen müssen im Stromnetz nicht nur Daten von Unternehmen und Konsumenten schützen, sondern auch die kritische Stromversorgungsinfrastruktur überwachen, steuern und schützen. Diese Aufgaben bringen neue Sicherheitsherausforderungen für die Netzwerkadministration mit sich – simple Verschlüsselung und Passwortschutz reichen nicht mehr. Stattdessen müssen Smart Meter über ihren gesamten Lebenszyklus hinweg lückenlos abgesichert werden – von der Produktion über die Installation und Inbetriebnahme sowie die gesamte Nutzungsdauer hinweg.

Die Bedeutung von Sicherheit im Smart Grid ist mittlerweile ins öffentliche Bewusstsein gerückt. Viel Aufsehen erregt haben Attacken auf Infrastrukturen wie mit dem Computerwurm Stuxnet sowie organisierte Hackerangriffe auf Stromzähler in Puerto Rico [1, 2]. Um für Systemsicherheit zu sorgen, arbeiten internationale Organisationen daher an Richtlinien und Kriterien speziell für die Automated Metering Infrastruktur (AMI). Unter anderem hat das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Schutzprofil für Gateways in Smart-Metering-Systemen herausgegeben [3]. In Nordamerika publizierte das National Institute of Standards and Technology (NIST) die Spezifikation NISTIR 7268 mit Richtlinien für die AMI-Absicherung [4].

Bild 1: Das Zeus-SoC bietet mehrere sehr genaue ADC-Kanäle mit 10 kSample/s im Metering-AFE, dazu einen 32-Bit-Mikrocontroller MAXQ30 mit 40 MHz und DSP-Unterstützung. Als Applikations-MCU dient ein mit 120 MHz getakteter ARM Cortex-M3.

Bild 1: Das Zeus-SoC bietet mehrere sehr genaue ADC-Kanäle mit 10 kSample/s im Metering-AFE, dazu einen 32-Bit-Mikrocontroller MAXQ30 mit 40 MHz und DSP-Unterstützung. Als Applikations-MCU dient ein mit 120 MHz getakteter ARM Cortex-M3.Maxim

Statt Sicherheitsbedenken breitzutreten, ist es an der Zeit, Lösungen zu finden. BSI und NIST liefern zwar Beschreibungen und Richtlinien, wie eine sichere Implementierung angelegt werden sollte, doch echte Implementierungen gibt es bis dato kaum. Der Industrie fehlen noch viele Schutzmechanismen, die für eine sichere systemweite Smart-Meter-Implementierung essenziell nötig wären: Da Smart Meter vielen Bedrohungen ausgesetzt sind, die sich ständig verändern, kann es auch keine Security-Universallösung geben. Jede robuste Sicherheitsstrategie muss mit den sich weiter entwickelnden Bedrohungen fertig werden. Die ersten Probleme zeigen sich schon bei der Herstellung, Montage und Kalibrierung der Geräte. Sie setzen sich bis zum Einsatz der Zähler fort, deren Dauer die meisten Energieversorgungs-Unternehmen (EVUs) mit 10 bis 20 Jahren beziffern. Für jede Phase gibt es mögliche Lösungen auf der Basis von Hard- und Software: Eine ausgewogene Lösung sollte hard- und softwarebasierte Techniken kombinieren, um die Systeminfrastruktur zu schützen. Eine derart optimierte Smart-Meter-Lösung bietet Maxim unter der Bezeichnung Zeus an (Bild 1). Dieses Smart-Meter-SoC kombiniert Hard- und Softwaresicherheitsfunktionen für Smart-Meter-Infrastrukturen.

Die Produktion absichern

Wer bei Sicherheit im Smart Grid nur an Verschlüsselung während des Betriebs denkt, übersieht, dass die Attacken auch viel früher ansetzen können [5]. Schon die Logistikkette während der Produktionsphase bietet einen ersten Ansatzpunkt potenzieller Attacken. Viele Anbieter von Smart Metern vergeben – wie die meisten Elektronikunternehmen – die Produktion an Subunternehmer, die oft nicht in dem Land angesiedelt sind, in dem das Design erfolgt. Für die meisten Produkte ist dieses Konzept sicher und produktiv, doch bei sicherheitsrelevanten Geräten gibt es externe Bedrohungen: Dritte erhalten zwangsläufig tiefe Einblicke und Zugriff auf die Architektur, die Hardware und die Software.

Auf einen Blick

Moderne Smart Meter müssen über ihren kompletten Lebenszyklus sicher sein. Was simpel klingt, erfordert einen enormen Aufwand und viel Voraussicht. Maxim Integrated hat das Smart-Meter-System-on-a-Chip namens Zeus neben einer hochpräzisen Metrologiefunktionen auch mit mehreren Sicherheitsebenen ausgestattet. Während ein eingebautes Kryptografiemodul die Kommunikation absichert, verhindert ein sicherer Bootloader unbefugte Veränderungen an der Firmware. Die Erkennung von Manipulationsversuchen bietet den Energieversorgern überdies die Gewähr, dass jegliche physischen Attacken auf den Energiezähler erkannt, aufgezeichnet und gemeldet werden.

Der erste Grundsatz einer sicheren Fertigung muss deshalb eine sichere Logistikkette sein. Sichere Produkte wie etwa Halbleiterbausteine müssen über vertrauenswürdige Lieferwege bezogen werden, auf denen sich Lieferanten und OEM gegenseitig authentifizieren, etwa in Form eines Hash-Algorithmus nach dem Challenge-and-Response-Prinzip [6]. Der Produktionsprozess darf nur vertrauenswürdigen Instanzen Zugriff auf und Kontrolle über das System einräumen. Hier kommen digitale Signaturen und Kryptografie-Algorithmen ins Spiel. Die aus Puerto Rico gemeldete Sicherheitslücke etwa resultierte aus einer potenziell während des Herstellungsprozesses vorgenommenen Manipulation [1].

Sicher booten

Der nächste Schritt ist ein sicherer Bootloader. Mit seiner Hilfe kann ein OEM den Zugriff auf den Controller des Smart Meters schon während der Herstellung kontrollieren. Der während der Produktion geladene Code wird beim Bootvorgang überprüft und erst dann ausgeführt, wenn er durch einen asymmetrischen Kryptografiealgorithmus im Verbund mit einer sicheren Hash-Funktion identifiziert wurde. Das stellt sicher, dass der Code aus einer vertrauenswürdigen Quelle stammt [6].

Ohne sicheren Bootloader mit Hardware-Unterstützung könnten Hacker eine Schwachstelle wie etwa einen exponierten, ungeschützten Schlüssel nutzen, um sich Zugang zum System zu verschaffen, oder eigenen, manipulierten Code auf dem SoC ausführen. Der Einsatz dieser Konfiguration für den intelligenten Zähler gewährleistet, dass ausschließlich autorisierte Personen mit den richtigen privaten Schlüsseln und der passenden Vertrauenskette Nachrichten und Kommandos senden können, die Zeus – und damit das Smart Meter – tatsächlich befolgt.

Installation

Je nach Stückzahl der Smart Meter fehlt den meisten EVUs das Personal, um die Geräte selbst zu installieren. Sie müssen also externe Unternehmen beauftragen: Wieder erhalten Dritte Zugang zur kritischen Stromzählerinfrastruktur. Während der Installation könnte jemand den optischen Port hacken oder die Verdrahtung der Zähler manipulieren. Eine abgesicherte Messtechnik kann die Installation validieren, um solche Eingriffe zu erkennen.

Bild 2: Ein aus zwei Leiterplatten bestehender Zähler ist anfällig für direkte physische Angriffe, weil Daten über frei zugängliche Leitungen übertragen werden.

Bild 2: Ein aus zwei Leiterplatten bestehender Zähler ist anfällig für direkte physische Angriffe, weil Daten über frei zugängliche Leitungen übertragen werden.Maxim

Viele der heutigen Stromzähler basieren auf einer Architektur, die sich in zwei Leiterplatten gliedert (Bild 2): eine Platine mit der Messtechnik (Metrology Board) und eine weitere mit den Kommunikationsfunktionen (Communications Board). Bei dieser Architektur werden, sofern die Chiffrierung nicht im Metrologieteil erfolgt, die Messdaten über leicht zugängliche Leitungen übertragen, bevor sie für die Kommunikation verschlüsselt und integritätsgesichert werden. Eine Alternative wären Einplatinenzähler, deren Sicherheitsfunktionen im Metrologie-Chip integriert sind. On-Chip-Verschlüsselung in einem separaten Metrologiebereich macht es ebenfalls möglich, Messdaten sofort zu chiffrieren und ihre Integrität zu schützen, so dass es keine potenziellen Sicherheitslücken zwischen Messung und Kommunikation mehr gibt.

Bild 3: Die Einplatinen-Implementierung des Smart Meters fasst die sicheren Funktionen im Metrologie-Chip zusammen.

Bild 3: Die Einplatinen-Implementierung des Smart Meters fasst die sicheren Funktionen im Metrologie-Chip zusammen. Maxim

Die nach erfolgter Installation empfangenen Daten können damit als gültig betrachtet werden. Das EVU kann zudem die nach der Installation empfangenen Daten mit den Werten des alten Zählers vergleichen, um die Richtigkeit zu gewährleisten. Durch Verlagern der Verschlüsselung in den Metrologie-Chip schließt das Zeus-SoC die bisherige Lücke zwischen Metrologie und Kommunikation (Bild 3).

Betrieb

Stromzähler oder Smart Meter finden sich in allen Firmen und Privathaushalten. Sie werden dabei häufig an unsicheren Orten installiert, an denen Hacker genügend Zeit haben, die Geräte genauestens zu studieren. Ihre Attacken können dabei an mehreren Stellen ansetzen. Bild 4 zeigt die schematisch Struktur eines Smart-Meter-Netzes: In aller Regel kommunizieren Hunderte oder gar Tausende von Zählern per Powerline-Kommunikation (PLC) oder drahtlos mit den jeweiligen Konzentratoren. Diese Konzentratoren wiederum kommunizieren über eine sogenannte Backhaul-Verbindung (Mobilfunk oder Glasfaserleitung) mit dem jeweiligen EVU.

Bild 4: In einer AMI-Architektur kommunizieren die Zähler per PLC oder Funk mit einem Konzentrator. Als Backhaul-Medium zwischen Konzentrator und EVU wird häufig das Mobilfunknetz genutzt. Auf einen Konzentrator kommen sehr viele Zähler.

Bild 4: In einer AMI-Architektur kommunizieren die Zähler per PLC oder Funk mit einem Konzentrator. Als Backhaul-Medium zwischen Konzentrator und EVU wird häufig das Mobilfunknetz genutzt. Auf einen Konzentrator kommen sehr viele Zähler.Maxim

Dank der Konzentratoren können die Zähler selbsttätig das Netzwerk erweitern, ohne tiefer in die Infrastruktur einzugreifen. Mit dieser Architektur gelingt es, die Infrastrukturkosten niedrig zu halten, weil bezogen auf die Zahl der Zähler nur wenige Konzentratoren benötigt werden. Allerdings erhöht diese vermaschte Architektur auch die Anfälligkeit des Netzwerks, weil die zwischen den Smart Metern übermittelten Nachrichten abgefangen und in veränderter Form weitergeleitet werden können. Diese Technik nennt sich Man-in-the-Middle-Attacke.

Man in the Middle

Smart Meter haben in der Regel weniger Sicherheitsfeatures und weniger Rechenleistung als die Konzentratoren. Angriffe auf die Zähler sind deshalb theoretisch einfacher als auf Konzentratoren oder auf die Backhaul-Verbindung. Attacken auf ein vermaschtes Netzwerk können außerdem – je nach Maschengröße – über eine große Fläche verteilt erfolgen. Jeder Zähler muss für sich also sehr wirkungsvoll abgesichert sein.

Symmetrische Verschlüsselungsalgorithmen wie AES sind zwar effizient und sicher, allerdings müssten dann alle Zähler denselben Schlüssel benutzen. Gelangt ein Angreifer also in den Besitz des geheimen Schlüssels, eröffnet ihm dies den Zugang zu allen Zählern. Dagegen hilft asymmetrische Verschlüsselung zum individuellen Chiffrieren der Daten, denn hier verwendet jeder Zähler seine eigenen Schlüssel zum Ver- und Entschlüsseln der Daten.

Schlüssel, die etwa für die Authentifizierung verwendet werden, sollten innerhalb des Chips generiert und in einem geschützten internen Speicher abgelegt werden. Der private Schlüssel muss dann den Zähler niemals verlassen. Da jeder Zähler jetzt seine eigene, nur einmal vorkommende Schlüsselkombination besitzt, ermöglicht das Aufdecken eines privaten Schlüssels nur noch den Zugriff auf einen einzigen Zähler. Asymmetrische Verschlüsselung reduziert also die Angriffsfläche einer AMI-Installation.

Rechenleistung für die Kryptografie

Die zur Verschlüsselung nötigen Rechenabläufe kosten Zeit – allerdings will niemand ein zeitkritisches System bremsen. Eine hardwaremäßige Implementierung bietet hier klare Vorteile gegenüber der Verarbeitung in Software. In das Zeus-SoC sind daher mehrere hardwaremäßige Verschlüsselungsebenen sowie eine sichere Schlüsselgenerierung und -speicherung integriert. Um die asymmetrische Verschlüsselung zusätzlich zu stärken, erzeugt ein echter Zufallszahlengenerator sichere Schlüssel. Mehrere symmetrische Verschlüsselungsalgorithmen wie etwa AES lassen sich mit den asymmetrischen Methoden kombinieren.

Flexibilität für künftige Bedrohungen

Sichere Smart Meter müssen so flexibel sein, dass sie auch mit Sicherheitsrisiken fertig werden, die erst nach der AMI-Installation im Lauf der Jahre entstehen. Die Antwort der IT darauf lautet: Intrusion Detection. Die EVUs führen die Kosten und den Mangel an ausgereiften Lösungen als Hauptgründe dafür an, dass viele aktuelle AMI-Installationen noch nicht mit Intrusion-Detection-Systemen ausgestattet sind [7]. Das Kernproblem dabei ist: Wie viel Rechenleistung benötigt ein Zähler für die Angriffserkennung? Zahlreiche akademische Fachbeiträge befassen sich mit Möglichkeiten, zähler- und netzwerkgestützte Angriffserkennungslösungen zu integrieren [8, 9].

Eine vielversprechende Lösung sieht einen Cumulative Attestation Kernel (CAK) vor [8]. Dieser zählergestützte Algorithmus prüft die Firmwarerevisionen und stellt damit eine zusätzliche Detektierungsebene bereit, wenn es einer Attacke gelungen ist, den Verschlüsselungs- und Authentifizierungsprozess zu überwinden. Ein CAK kann auf einem 8- oder 32-Bit-Mikrocontroller laufen und begnügt sich mit einem Minimum an Speicher. Experten wie das Electric Power Research Institute [7] sind sich einig, dass Smart Meter mit solchen Funktionen ausgestattet sein sollten.

Der laufende Betrieb eines sicheren Smart-Meter-Netzwerks kommt aber mit dem schlichten Detektieren von Bedrohungen nicht aus – man muss die Bedrohungen auch abwenden. Die Art und Weise, wie ein Smart Meter auf Bedrohungen reagiert, hat Einfluss auf die Betriebssicherheit und die Effektivität sowie wahrscheinlich auch auf den finanziellen Erfolg einer AMI-Installation.

Vom Geldautomaten lernen?

Viele sichere Systeme, darunter auch Finanzterminals, schalten sich im Fall eines Angriffs umgehend ab. Das verhindert, dass der Angreifer weiteren Zugang zum Netzwerk erhält. Die Abschaltung mag für die Benutzer lästig sein, ist aber das viel kleinere Übel als der Verlust finanzieller Informationen. Smart Meter stellen dem Kunden allerdings den einzigen Zugang zur Versorgung mit Elekt­rizität bereit: Hier kann es nicht die optimale Reaktion sein, das Gerät bei einer angenommenen Bedrohung komplett abzuschalten. Stattdessen müssen diese Netzwerke die potenzielle Bedrohung erkennen, bevor es zu irgendeiner Reaktion kommt.

Die gesamte AMI muss während einer Bedrohung in Betrieb bleiben, dabei aber die Schwere der Gefahr effektiv bewerten und möglichst gezielt und lokal begrenzt abwehren. Da umfangreiche Cyberattacken die größte Bedrohung für eine AMI darstellen, benötigen Smart Meter die Fähigkeit, Abwehrmaßnahmen jederzeit während des Betriebs zu priorisieren.

Bestandteil der Architektur des Zeus-SoC ist daher ein 32-Bit-ARM-Core. Jede Kommunikation, die sich nicht einwandfrei entschlüsseln oder authentifizieren lässt, kann gemäß der Entscheidung des Zählers oder der Netzwerkarchitekten ignoriert, protokolliert oder gemeldet werden. Die Abtrennung der Messtechnik vom ARM-Core gewährleistet, dass die Zählerfunktionen auch während der Verarbeitung verschiedener Software-Routinen zur Verfügung stehen.

Diese Arbeitsweise steht in Einklang mit der WELMEC [10] (Western European Legal Metrology Cooperation; die Organisation ist zwischenzeitlich aber weltweit aktiv) und anderen Normen. Da sich die Hardware um die verschlüsselte Kommunikation kümmert, bleibt der ARM-Core für Systemaufgaben frei. Man kann den ARM-Core zudem mit einem CAK ausstatten. Durch Softwareupgrades lässt sich das System jederzeit gegen weiterentwickelte Bedrohungen wappnen.

Bild 5: Die Zeus-Plattform mit den Bausteinen MAX71616, MAX71617, MAX71636 und MAX71637 vereint die drei Bereiche Kommunikation, Sicherheit und Messtechnik in einem System-on-Chip.

Bild 5: Die Zeus-Plattform mit den Bausteinen MAX71616, MAX71617, MAX71636 und MAX71637 vereint die drei Bereiche Kommunikation, Sicherheit und Messtechnik in einem System-on-Chip.Maxim

Zukunft voller Chancen

Das Smart Grid stellt eine beeindruckende Transformation des Elektrizitätsnetzes dar. Die Energieversorgungs-Infrastruktur mit Netzwerkfunktionen und Steuerungsfeatures ist jedoch viel verwundbarer gegenüber Angriffen und Cyberattacken als klassische Stromnetze. Internationale Organisationen definieren Performancestandards – die Abwehr von Angriffen bleibt indes den Herstellern der Smart Meter überlassen. Eine vorbeugende Maßnahme ist die Trennung von Hardware- und Softwarefunktionen. Dabei wird der gesamte Lebenszyklus eines Smart Meters abgesichert, vom Zukauf der Bauteile von Drittunternehmen über die Produktion und die Installation bis zum Langzeitbetrieb. Passend hierzu konzipierte Maxim Integrated das Zeus-SoC (Bild 5) als fortschrittliche und elegante Lösung für die Smart Meter von heute und morgen.

Referenzen

[1] „FBI: Smart Meter Hacks Likely to Spread“, KrebsOnSecurity, April 2012. Außerdem Maxim Integrated Application Note 5445: „Stuxnet and Other Things that Go Bump in the Night

[2] „Senators Aim To Protect Electric Grid From Hackers“, CBS News, 30. April 2012

[3] „Protection Profile for the Gateway of a Smart Metering System“, Bundesamt für Sicherheit in der Informationstechnik, Gateway PP v01.01.01 (final draft), 2011

[4] „Guidelines for Smart Grid Cyber Security“, Volumes 1-3, NIST, U.S. Department of Commerce, August 2010

[5] „Securing the Lifecycle of the Smart Grid“, Maxim tutorial 5486

[6] „Protecting R&D Investment with Secure Authentication“, Maxim Integrated tutorial 3675

[7] „Intrusion Detection System for Advanced Metering Infrastructure“, Electric Power Research Institute, December 2012

[8] „Cumulative Attestation Kernels for Embedded Systems“, M. LeMay und C. A. Gunter, IEEE Transactions on Smart Grid, Vol. 3, No. 2, Juni 2012

[9] „AMIDS: A Multi-Sensor Energy Theft Detection Framework for Advanced Metering Infrastructure“, S. McLaughlin, B. Holbert; S. Zonouz und R. Berthier, Smart Grid Communications, IEEE Third International Conference on Smart Grid Communications, 2012

[10] „WELMEC Software Guide“, WELMEC, 7.2, Issue 5, Measuring Instruments Directive, März 2012