Dr. Sebastian Kraska

80331, München
14.09.2015

Datenschutz-Gastbeitrag: Keine rechtsfreien Räume für kritische Infrastrukturen!

[IITR – 14.9.15] Macht die Verantwortlichen dateninkontinenter Immobilien haftbar! Keine rechtsfreien Räume für kritische Infrastrukturen! Gastbeitrag von Joachim Jakobs.

Am Mittwoch ging die Internationale Funkausstellung zu Ende – die Aussteller sollen dabei „neueste Smart Home Lösungen“ präsentiert haben – so jedenfalls jubelte die Messe Berlin. Ein „intelligentes“ Heim soll im Vergleich zum bisher dummen Pendant beispielsweise beim Stromparen helfen: Die Waschmaschine soll erst zu dem Tageszeitpunkt waschen, zu dem der Strompreis besonders günstig ist, außerdem lassen sich die Heizung, die Rolläden und das Licht mit Hilfe der „Smart Home App“ der Telekom „aus der Ferne“ steuern. Soweit die blumige Beschreibung angeblich intelligenten Wohnens.

Dazu muss alles mit allem informationstechnisch vernetzt werden – die Solaranlage auf dem Dach mit den elektrischen Geräten, dem Stromspeicher im Keller, dem „intelligenten“ Stromzähler und dem Wlan-Router. Wie im Kleinen, so im Großen: Da wir den Strom künftig nicht mehr von einigen wenigen Atom- oder Kohlekraftwerken, sondern von tausenden Wind-, Wasser- und Sonnenkraftwerken (womöglich vom Dach des Nachbarn) beziehen, muss alles mit allem verbunden sein. Überall wird gemessen, gerechnet und geregelt. Ähnlich ist es mit der Gas- und Wasserversorgung.

Bevor wir ans Vernetzen gehen, sollten wir die sicherheitstechnischen Voraussetzungen schaffen – und für die entsprechende Bildung der Beteiligten sorgen.

Nach dem Vernetzen läßt sich beispielsweise erkennen, wie viele Personen wann im Haus sind und welchen Lebensstandard und -gewohnheiten sie pflegen. Alle diese Informationen müssen dem iStromzähler entnommen werden können: Nur so ist es für die Stromanbieter möglich, Strompreise permanent Stromangebot und -nachfrage anzupassen. Gleichzeitig muss aber der Zugriff von Unbefugten verhindert werden. Außerdem dürfen weder der tatsächliche Stromverbrauch, noch der Zähler manipuliert werden können, nicht vom Eigentümer, nicht vom Stromanbieter und schon gar nicht von Dritten. Seit Januar 2015 sind Bauherren und die, die mehr als 6.000 Kilowattstunden Strom jährlich abnehmen, vom Energiewirtschaftsgesetz verpflichtet, solche Zähler einzubauen.

Da Kunden kaum beurteilen können, welches Gerät diese Vorgaben erfüllt, hat das Bundesamt für die Sicherheit in der Informationstechnik (BSI) die „Technische Richtlinie TR-03109“ veröffentlicht. An Hand dieser Richtlinie soll geprüft werden, ob die Geräte am Markt sicher sind. Allein seine Lektüre stellt eine Herausforderung dar: Das Dokument ist so komplex, dass es in acht Teile zerlegt werden muss. Einer davon, die TR-03109-1, umfasst 146 Seiten und glänzt durch Unverständlichkeit. Unter „Zielgruppe“ heißt es etwa: „Die Technische Richtlinie richtet sich in erster Linie an Hersteller von Kommunikationseinheiten intelligenter Messsysteme“. Für die Sicherheit der Stromzähler und damit des gesamten Stromnetzes wäre es jedoch wichtig, dass sich behördliche Vorschriften um eine Sprache ohne Worthülsen bemühen! „Kommunikationseinheiten“!?

Dann wären vielleicht auch zertifizierte Zähler tatsächlich verfügbar – bis heute ist das nämlich nicht der Fall. Wenigstens gilt die Vorschrift zum Einbau erst dann, wenn die verfügbaren Zähler den BSI-TÜV passiert haben. Sonst müssten womöglich unsichere Geräte verbaut werden. In jedem Fall sorgen Gesetze und Richtlinien für Verwirrung, wenn sie nicht einzuhalten sind, oder sich durch Unverständlichkeit dem Zielpublikum entziehen.

Seit Februar 2015 gibt es wenigstens ein Betriebssystem der Telekom, das den Segen des BSI erhalten hat. So ist etwa die Dr. Neuhaus Telekommunikation GmbH aus Hamburg dabei, entsprechende Hardware mit diesem Betriebssystem zu bauen. Mal sehen, ob die künftig genau das (und keinesfalls mehr) tut, was sie soll. Bis wann Zähler auf dem Markt sind, die die Neuhaus-Hardware verwenden, ist unklar. Hardware und Stromzähler müssen nämlich dann auch erst jeweils wieder vor den kritischen Augen des BSI bestehen.

Aus gutem Grund: Ein bislang verfügbares Protokoll zur Kommunikation im „intelligenten“ Stromnetz soll Wissenschaftlern zu Folge „leicht belauschbar“ sein, obwohl dieses eigens zur sicheren Kommunikation entwickelt wurde. Seine Funktion sei „extrem schwach und kann keine irgendwie geartete Integritäts-Garantie bieten“, zitiert das Fachmagazin Heise Online aus dem Resümee der Forscher. Wenn aber die Integrität nicht garantiert werden kann, droht der Stromdiebstahl. Wie auf der Insel Malta – dort sollen 2012 bereits zehn Prozent der Energie geklaut worden sein. Schaden: 30 Millionen Euro. Das ist bemerkenswert – schließlich lebt noch nicht einmal eine halbe Million auf der Insel! Solche Zahlen dürften die organisierte Datenkriminalität faszinieren.

Jetzt der WLan-Router: Kurz nach der Wasserstandsmeldung mit dem Protokoll war die Rede von einer Sicherheitslücke in einer Router-Funktion zum Anschluß von USB-Geräten. 26 Hersteller sollen diese Funktion nutzen. Wie viele von deren Modellen davon betroffen sind, ist nicht bekannt – geschweige denn die Anzahl der jeweils gefertigten Artikel.

Und die Endgeräte: Fernseher sollen die Interessen der Gebäudeinsassen ausspionieren, Vaillant-Heizungen können von Dritten übers Internet ausgeschaltet und beschädigt werden, RFID-Türschließanlagen lassen sich mit Hilfe von alten Skipässen berührungslos öffnen, „intelligente“ Steckdosen der Firma Belkin sollen Brände auslösen können und Internetkameras der Firma Foscam zur Überwachung von Säuglingen sollen von Angreifern übernommen und aus der Ferne gesteuert worden sein, um damit die Personen im Raum zu verfolgen.

Die vielen Komponenten im Gebäude werden mit Hilfe einer Steuerungssoftware verknüpft: Die Forbes-Journalistin Kashmir Hill hat sich den Spaß erlaubt, nach solcher Software der Firma Insteon zu suchen – da der Hersteller bis dahin die Benutzer und Passwort-Abfrage nicht aktiviert habe, konnte sie das Licht in Schlafzimmern im US-Bundesstaat Oregon aus dem 800 Kilometer entfernten San Francisco anschalten. Genauso hätte sie nach eigener Angabe Garagentore öffnen oder den Whirlpool anschalten können.

Und es ist zu befürchten, dass sich Schadsoftware selbständig von einem Stromzähler zum nächsten verbreitet – das heißt: Von einem Haushalt zum nächsten. Ein Sicherheitsforscher will die prinzipielle Möglichkeit dazu bereits vor Jahren bewiesen haben. Das bedeutet: Zu den ohnehin bereits vorhandenen Schwächen in den Geräten könnte fahrlässiges Verhalten der Stromkunden kommen; etwa durchs Verknüpfen Schadsoftware-verseuchter „intelligenter“ Telefone mit dem Stromzähler – das könnte zu einer epidemischen Verbreitung der Infektion im Stromnetz führen.

Google hat 2013 die Gebäudesteuerungssoftware seines Australischen Hauptquartiers vom Internet abgehängt. Zuvor wiesen Billy Rios, und Terry McCorkle vom US-Sicherheitsunternehmen Cylance den Suchriesen darauf hin, dass sich jeder Internetanwender nicht nur die Anmeldedaten der Benutzer des Systems unter den Nagel hätte reißen, sondern auch noch die Steuerung der Gebäudetechnik vollständig in seine Gewalt hätte bekommen können. Da die Cylance-Berater nicht wussten, welche Funktion sich hinter einem Hammer-Symbol auf der graphischen Benutzungsoberfläche verbarg, widerstanden sie der Versuchung, dies auszuprobieren. Sie beließen es dabei, dem Internet-Konzern den elektronisch verfügbaren Gebäudegrundriß abzunehmen. Zigtausende gleichartige Systeme sollen – unter anderem in Krankenhäusern – rund um den Globus betrieben werden.

Die mögliche Konsequenz hatte „Der Spiegel“ bereits vor Jahren drastisch getitelt: „Hacker könnten USA den Strom ausknipsen“.

Was aber sind die angesprochenen sicherheitstechnischen Voraussetzungen fürs Vernetzen unserer kritischen Infrastrukturen? Dazu ist ein Gesamtkonzept notwendig, das Bauunternehmer, -herren und -behörden, die Anbieter technischer Gebäudeausrüstung und deren Vertrags-Handwerker, Softwareentwickler, Immobilienbetreiber und -verwalter, Energie-, Gas und Wasserversorger sowie deren Dienstleister und die Schornsteinfeger umfassen muss. Jede der beteiligten Institutionen muss systematisch auf Schwachstellen abgeklopft und ihre Aufbau- und Ablauforganisation überprüft werden: Welche Daten werden wo erhoben, verarbeitet und gespeichert? Welche Technik wird dabei wie genutzt? Welcher Verschlüsselungsalgorithmus bietet ausreichend Widerstand, um jeden einzelnen Datensatz individuell gegen hochentwickelte Angriffe zu schützen? Im Zweifel muss der Sicherheit Vorrang vor dem Komfort und der Geschwindigkeit beim Verarbeiten/Transportieren von Daten eingeräumt werden.

Am Ende dieses Prozedur bekommt jede Institution, jedes Bauteil und jede Dienstleistung ein Zertifikat, das ihnen ein Minimum an Sicherheit bescheinigt. Nur mit diesem Zertifikat darf es in der vernetzten Welt verwandt werden! Weitere Details sind in den 4482 Seiten umfassenden „IT-Grundschutzkatalogen“ des BSI nachzulesen.

Diese Forderungen hätten dem „IT-Sicherheitsgesetz“ gut zu Gesicht gestanden. Denn schließlich will Innenminister Thomas de Maizière damit „die deut­schen IT-Sys­te­me zu den si­chers­ten in der Welt ma­chen“.

Tatsächlich ist im IT-Sicherheitsgesetz keine Rede von „intelligenten“ Gebäuden und nur sehr allgemein von „Stromversorgung“, „Versorgung mit Erdgas“ und „Trinkwasserversorgung“ der 80 Millionen Bundesbürger die Rede – geschweige denn von den übrigen Beteiligten. Ich zumindest empfinde die Vorstellung von derartig immobil vernetzter Intelligenz als kritisch, solang nicht klar ist, wessen Kontrolle diese Intelligenz unterliegt. Der Bundesinnenminister aber lässt seine Pressestelle ausrichten, dass „eine konkrete Festlegung der vom Gesetz erfassten Kritischen Infrastrukturen im Wege einer auf Grundlage des IT-Sicherheitsgesetzes zu erlassenden Rechtsverordnung erfolgt.“ Aha!

Damit die Beteiligten in Zukunft weder Unsinn reden noch anstellen, ist schließlich rollenspezifische Bildung notwendig – denn künftig müssen alle, die an der Informationsgesellschaft mitwirken, für ihr Tun auch strafrechtlich gerade stehen – egal ob es sich dabei um Entscheider in Politik und Wirtschaft oder um Menschen handelt, die auf Basis der Entscheidungen IT-Systeme für die vernetzte Welt entwickeln, implementieren, administrieren oder nutzen. Schafft keine rechtsfreien Räume in den kritischen Infrastrukturen!

Über den Autor:
Der Autor hat das Buch „Vernetzte Gesellschaft. Vernetzte Bedrohungen – Wie uns die künstliche Intelligenz herausfordert“ verfasst, das im September im Cividale-Verlag erscheint.

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.