Sicherheit im intelligenten Stromnetz?

Bild 1: In Deutschland besteht verglichen zu UK und den nordischen Staaten ein Nachholbedarf beim Smart Metering.Renesas

Im vergangenen Jahr hat das Marktforschungsunternehmen Pike Research einen Bericht veröffentlicht, demzufolge der Sicherheitstechnik-Markt für intelligente Stromnetze innerhalb der nächsten fünf Jahre ein Volumen von bis zu 21 Milliarden US$ umfassen könnte. Dies entspricht etwa 15 Prozent der weltweiten Investitionen in intelligente Stromnetze. Nach Angaben des CIA-Analysten Tom Donahue haben Hacker im Jahr zuvor diese Tatsache anhand von Cyber-Einbrüchen in Versorgungsunternehmen mit anschließenden Erpressungsforderungen, auf diese Stromausfälle in mehreren Orten erfolgten, bestärkt. Anfang dieses Jahres gab es in Großbritannien Berichte, dass kriminelle Banden durch betrügerische Manipulationen mit gefälschten Recharge Keys für Prepaid-Stromzähler einen Schaden von 7.000.000 £ verursacht haben. Ohne Zweifel werden Vorauszahlungskunden am Ende für diesen Schaden aufkommen müssen. Alle diese Berichte belegen eindrucksvoll, dass Sicherheit in intelligenten Stromnetzen mehr bedeutet, als einfach eine Verschlüsselung in intelligenten Stromzählern zu integrieren! Auch wenn das für viele Leser überraschend sein mag, drehen sich Diskussionen über Sicherheit allzu oft nur um diesen Punkt.

Vorbeugen ist besser als …

Was könnte also im schlimmsten Fall passieren? Hier geht es nicht um Betrug am Stromzähler – dieser würde lediglich ein paar Milliarden Euro pro Jahr kosten! Das schlimmste Szenario wäre der Verlust der Kontrolle über das Stromzähler-Netzwerk. Im Jahre 2009 haben Mike Davis und sein Team bei IOActive einen Wurm für intelligente Stromzähler entwickelt – einen sehr schlauen Code, der sich von einem Stromzähler zum nächsten ausbreiten konnte. Anhand eines simulierten Peer-to-Peer Stromzähler-Netzwerks konnte das Team zeigen, wie sich dieser Wurm erschreckend schnell über ein ganzes Stadtgebiet verbreiten konnte. Letztendlich bewirkte der Wurm, dass der Strom ausfiel und die Zähler-Kalibrierung verändert wurde, so dass die Zähler praktisch nicht mehr einsatzbereit waren. Der Wurm schaltete auch die ferngesteuerte Update-Funktion aus, was in der Praxis dazu geführt hätte, dass man jedes einzelne Anwesen für eine Umprogrammierung des Stromzählers hätte besuchen müssen – mit erheblichen finanziellen Konsequenzen und großem Schaden für das Marken-Image vieler Anbieter. Dies war zwar nur eine Simulation, der Wurm jedoch real und er wurde für einen echten intelligenten Stromzähler entwickelt.

Zunächst einmal gibt es ein Potenzial für Datendiebstahl auf individueller Basis oder in einem größeren Maßstab. Dann gäbe es da noch die Möglichkeit, jemanden mutwillig von der Strom- oder Gasversorgung abzuschneiden. Ein typisches Beispiel hierfür ist der mutwillige Angriff auf Sony und sein PlayStation-Netzwerk. Es könnte aber auch um finanzielle Bereicherung gehen – etwa bei einem Einzeltäter motiviert durch den Anstieg der Energiepreise oder bei einem Betreiber einer stromhungrigen Cannabis-Farm. Auch das organisierte Verbrechen könnte anhand von Insider-Wissen über bevorstehende Ereignisse Börsenkurse beeinflussen oder solche Ereignisse einfach gewinnbringend ausnutzen. Schließlich käme auch noch der Cyber-Terrorismus infrage, der mit dem Potenzial eines synchronisierten Angriffes unerhörtes Chaos anrichten könnte. Bei dem oben erwähnten Angriff auf die USA im Jahr 2009 gab es Hinweise, dass dieser womöglich international verursacht worden sei.

Bild 2: Ein Secure MCU ermöglicht eine sichere Schlüssel-Speicherung. Bei einem solchen Bauteil verlässt der Schlüssel niemals den Mikrocontroller und wird auch nie in nicht-abgesichertem RAM abgelegt.Renesas

Niemand von uns wünscht sich, eines Tages eine Zeitungsschlagzeile – bei Kerzenlicht, vorausgesetzt der Druck wäre überhaupt noch möglich gewesen – über Stromausfälle für Hunderte oder Tausende von Haushalten lesen zu müssen. Genauso wenig wie, dass kein europäisches Land vor dem Hacker-Angriff sicher sei, den ein bestimmtes Land aktuell erleben würde, und dass die Aktienkurse abstürzten, ohne dass es eine sofortige Lösung dafür gäbe. Keiner möchte tagelange Dunkelheit erleben müssen.

Wie lässt sich nun das Risiko vermindern, das dieser schlimmste Fall eintritt? Bevor wir den zwingend erforderlichen breiter gefassten Blick auf diese Dinge werfen, zunächst eine Liste einfacher Maßnahmen, mit der sich beim Zähler solche Angriffe abwenden lassen.

Einsatz von Kryptographie

Der Einsatz von Kryptographie ist dabei der naheliegendste Ansatzpunkt. Sie erzwingt eine Authentifizierung und ermöglicht eine Verschlüsselung sowie eine Signierung der Daten. Allerdings ist dies nur ein Teil der Lösung. Vor der Markteinführung einer solchen Technik sind strenge Entwicklungs- und Testprozeduren zu implementieren. Diese helfen, Schwachstellen in der Software wie etwa Buffer-Overflows zu vermeiden, bei denen die Sicherheit des Speichers verletzt wird, indem Daten aus dem gewünschten Buffer in einen benachbarten Speicherbereich geschrieben werden. Auch jenseits der Markteinführungsphase sollte der gesamte Zähler-Lebenszyklus berücksichtigt und auch weitere Überprüfungen vorgesehen werden. Diese sollten die Integrität des Zählers und seiner Dateninhalte bei der Zähler-Aktivierung, nach der Deinstallation und sogar nach der Entsorgung, was auch immer davon noch übrig bleibt, gewährleisten. Dann folgen Maßnahmen, die schon heute selbstverständlich sein sollten: Manipulationserkennung, -Aufzeichnung und -Alarmgabe sowie die Gewährleistung einer sicheren Speicherung und Verwendung der entsprechenden kryptographischen Schlüssel. Nicht zuletzt sollte man auch die Schlüssel und Zertifikate im Zähler selbst beachten. Weiterhin gibt es noch einen entscheidenden Punkt in Bezug auf kryptographische Schlüssel: Separate Schlüssel für unterschiedliche Anwendungsfälle sollten selbstverständlich sein!

Dies alles klingt sehr einfach, gute Sicherheitsmaßnahmen sind aber immer auch sehr schwer zu implementieren.

Hier gilt es zu bedenken, dass selbst intelligente Zähler letztendlich eine begrenzte Rechenleistung besitzen. Denn obwohl die in ihnen enthaltenen High-end 32-Bit Mikrocontroller als relativ anspruchsvoll gelten, muss eine starke Verschlüsselung im System eingebettet sein und als Teil des Mikrocontroller-Overhead betrachtet werden. Auch die bereits erwähnten unterschiedlichen Schlüssel für verschiedene Einsätze und die Herausforderungen einer sicheren Schlüssel-Speicherung gehören zum Verschlüsselungsprozess. Wie aber steht es um die Frage des Widerrufens von Schlüsseln? Dieses Thema ist eine große Herausforderung, auf die nicht im Detail eingegangen werden kann. Wichtig in diesem Zusammenhang ist, dass eine Strategie entwickelt werden  muss, wie das System nach dem Widerruf eines Schlüssels geschützt bleibt, während man mit den Kompromissen umgeht, die womöglich seit dem Moment des Schlüssel-Widerrufs gemacht werden mussten. Ein solcher Fall tritt beispielsweise ein, wenn ein kryptographischer Schlüssel von einem Zähler-Auftragnehmer gestohlen wird, oder wenn ein tragbares Inbetriebnahme-Terminal verloren geht.

Millionen solcher intelligenten Stromzähler sind bei größeren Rollouts intelligenter Netze oder Stromzähler mit großer Wahrscheinlichkeit bereits installiert. Schon alleine diese Tatsache ist eine Herausforderung für sich, wie die Verfügbarkeit der zu installierenden Zähler begrenzt beziehungsweise kontrolliert werden kann. Eine weitere – und wahrscheinlich noch größere – Herausforderung ist die Kontrolle über die Entsorgung der Zähler am Ende ihrer Betriebsdauer. Was passiert, wenn die Zähler installiert wurden und nun in den Händen des Konsumenten sind? Die physische Sicherheit ist also eine weitere Herausforderung auf der Liste der zu lösenden Probleme.

Kommen wir noch einmal auf die nicht-physischen Aspekte zurück: Bekannterweise steht der smarte Anteil des intelligenten Zählers für die Kommunikationsfunktionen, die im idealen Fall Interoperabilität ermöglichen, obwohl dies nochmals ein Problemfeld für sich wäre. In Bezug auf Sicherheitstechnik bedeutet Interoperabilität Sicherheitsmaßnahmen von Punkt zu Punkt, die breit diskutiert werden. Sicherheit sollte jedoch von Anfang bis Ende im Mittelpunkt stehen. Oder ist uns Komfort wirklich wichtiger als die Sicherheit? Spricht man zudem über Datenkommunikation, bedeutet “neu“ in Bezug auf Sicherheitsrisiken nicht notwendigerweise “besser“.

Von anderen Applikationen und Fehlern lernen

DVD DRM (Digital Rights Management) wurde von einem 16-Jährigen gehackt ebenso wie Blu-Ray-Inhalte nur wenige Tage nach ihrer Veröffentlichung. Der erwähnte Hack des Sony-PlayStation-Netzwerks bleibt ein heißes Eisen, man sollte aber auch nicht den großen und andauernden Schaden vergessen, der durch das Hacking des portablen DS-Spiele-Systems für die Einkünfte des Unternehmens Nintendo und seiner Entwicklungspartner entstanden ist. Alle diese Systeme waren so ausgelegt, um sie vor einer Code Injection zu bewahren und doch war ein gut dokumentierter Hack möglich, der den Schlusscode bestehender Subroutinen zum Kapern des Systems nutzte. Alle diese Schwachpunkte ließen sich problemlos anhand eines gebrauchten Gerätes ermitteln, das über ein offizielles Regierungsauktionsportal gekauft wurde. Auf dem Markt der Mobiltelefonie und der Kreditkarten bestehen Anbieter als Minimalanforderung auf Smart-Card-Technologie. Sollten wir da die Anwendungen für intelligente Stromzähler und Netze weniger ernst nehmen?

Was also ist zu tun?

Aus der Sicht eines der weltweit größten Mikrocontroller-Hersteller und führenden Lieferanten für den Markt intelligenter Zähler klingt das womöglich merkwürdig, aber die Antwort ist wahrscheinlich nicht in einem Standard-Mikrocontroller zu finden! Ähnlich wie es kaum sinnvoll ist, ein stark abgesichertes Türschloss einzubauen und dann den Schlüssel unter der Fußmatte zu deponieren, sollten die kryptographischen Schlüssel auch nicht ohne Schutz aufbewahrt werden. Für eine sichere Speicherung der Schlüssel kann man sich nicht notwendigerweise auf normale Mikrocontroller verlassen, weil diese die Schlüssel während des Betriebs in den RAM kopieren können. Hacker kennen zahlreiche Techniken, um solche Schlüssel aus einem normalen Mikrocontroller auszulesen. Ebenfalls sind deren Fähigkeiten zur Generierung von Schlüsseln und Zufallszahlen zu berücksichtigen. Viele Angriffe werden erst aufgrund von Mängeln bei der Generierung, der Implementation oder dem Einsatz von Zufallszahlen möglich.

Zahlreiche Standard-Mikrocontroller bieten die Möglichkeit, ein Schutz-Flag oder eine Sicherung als Schutz gegen das Auslesen von gespeicherten Daten einzuführen. Dies ist jedoch keine angemessene Lösung. Einige der potentiellen Risiken sind eine Stromanalyse mit Widerständen, durch die sich Informationen über den Schlüssel offenlegen lassen, aber auch eine Timing-Analyse kann Anhaltspunkte über den Schlüssel liefern. Weiterhin lassen sich Sicherheitsüberprüfungen mit Spannungspulsen umgehen; Sicherungen lassen sich per Laser zurücksetzen, und Kamerablitze oder Ähnliches ermöglichen ebenfalls ein Auslesen des Codes. Auch eine Chip-Löschfunktion über den JTAG-Zugang kann ein Auslesen von Daten aus dem RAM ermöglichen. Und schließlich lassen sich Schlüsseldaten auch per Entropie-Analyse ermitteln.

Die Lösung: ein spezieller, besonders abgesicherter Mikrocontroller

Ein Secure MCU bietet Schutz gegen physische Angriffe über Analyse oder Sondierung. Dazu nutzt der Baustein ein inhärentes zufällig gegliedertes Chip-Layout, metallische Abschirmung, Speicherdaten-Scrambling und eine Prozesstechnologie mit kleinen Strukturgrößen, die zusammen über eine abgesicherte Umgebung eine sichere Speicherung der Schlüssel ermöglichen. Randomisiertes Timing, die Möglichkeit Operationen zu tarnen, sowie eine Hardware-Datenverschlüsselung und eine auf dem Chip integrierte Erzeugung von Zufallszahlen können Timing- und Strom-Beeinflussungen vermeiden, die einen Auslese-Angriff ermöglichen können. Auch ein Angriff mit unzulässigen Spannungen, Störungen, Temperaturen, Taktsignalen oder optischen Signalen lässt sich durch eine automatische Manipulationserkennung vermeiden. Diese Funktion schaltet den Baustein bei unzulässigen Zugriffsversuchen ab und umfasst zusätzlich einen speziellen EEPROM-Schutz. Weiterhin enthält diese Funktion ein Co-Processing zur Erzeugung von Zufallszahlen sowie für die Verschlüsselung, mit der sich die entsprechenden Abläufe beschleunigen lassen.

Kurz gesagt, ein Secure MCU ermöglicht eine sichere Schlüssel-Speicherung. Bei einem solchen Bauteil verlässt der Schlüssel niemals den Mikrocontroller und wird auch nie in nicht-abgesichertem RAM abgelegt. Ein solcher Mikrocontroller enthält eine Hardware-Beschleunigung für kryptographische Operationen. Der Baustein verhindert ein Cloning und bietet eine sichere Informationsspeicherung und -Aufzeichnung von Kreditdaten. Die Erzeugung von Schlüsseln und Zufallszahlen läuft intern ab und alle kryptographischen Algorithmen sind komplett validiert.

Wie bereits festgestellt, ist eine End-to-End oder E2E-Sicherheit besser als eine Point-to-Point oder P2P-Sicherheit. P2P ist nur genau so sicher wie das schwächste Glied in der Kette und verursacht Schwachstellen an jedem Punkt, an dem Daten entschlüsselt und erneut verschlüsselt werden. Für eine E2E-Sicherheit müssen der Strom- oder Gaszähler und das Datenzentrum kompatible Algorithmen implementieren, was die Frage nach gesetzlichen Bestimmungen und Normen aufwirft. Zwar gibt es ein gesetzlich vorgeschriebenes Mindestmaß an kryptographischer Sicherheit, allerdings bleibt die Frage des P2P-Komforts im Vergleich zur E2E-Sicherheit unverändert bestehen. Ebenso bleiben die Auswirkungen von Entscheidungen eine Bürde, die die Stromversorgung betrifft. Dies ist entscheidend für batteriebetriebene Zähler und wird definiert durch die Stärke der verwendeten Kryptographie und die Häufigkeit der Ablesung. Außerdem besteht eine stete Unsicherheit in Bezug auf Patente, die einige der beliebtesten Kryptographie-Algorithmen wie etwa ECC (Elliptic Curve Cryptography) betreffen. Bei ihnen wäre eine Interoperabilitätsmöglichkeit ohne Patentverletzungen wünschenswert. Sicherheit muss bereits bei der Einführung von Programmen für intelligente Zähler und Netze berücksichtigt werden.

(sb)