"Da ist die Industrie in der Tat noch so ein bisschen in der Lernphase. Es gibt natürlich viele Anbieter von kleinen Smart-Home-Devices, die sehr sehr schlecht mit ihrer Sicherheit umgehen."
So schätzt Rolf Haas von Intel Security die Lage im smarten Heim ein. Und viele Sicherheitsspezialisten und Datenschutzexperten sehen das ganz ähnlich wie Haas. Das zeigte sich auch am Mittwoch dieser Woche auf der Anhörung des Bundestagsausschusses für Wirtschaft und Energie im Berliner Reichstag. Da haben sich die Abgeordneten mit dem geplanten Gesetz zur Digitalisierung der Energiewende beschäftigt. Die Regierung kommt da nicht so gut weg. Woran liegt das, Peter Welchering?
Da führen die Experten zwei Gründe an: Der Gesetzesentwurf ist schlampig gemacht. Viele technische Details sind nicht berücksichtigt worden. Die Regelungen für ein sicheres digitales Energienetz bleiben weit hinter den Anforderungen der Sicherheitsexperten zurück. 2. Wie die per Smart Meter erhobenen Daten der Stromverbraucher verwendet werden dürfen, wird im Gesetzesentwurf unzureichend geregelt. Die Diskussion über die Digitalisierung der Energiewende läuft ja schon ein paar Jahre. Und dieser Gesetzesentwurf liest sich so, als habe genau diese Diskussion überhaupt nicht stattgefunden. Deshalb lautet auch das Urteil recht vieler Sicherheitsexperten: Wenn wir so, wie wir im Augenblick in Sachen Datensicherheit aufgestellt sind, die Digitalisierung der Energiewende einfach durchziehen, laufen wir in ein Desaster. Und das sehenden Auges.
Ab 2017, also schon ab dem nächsten Jahr, sollen die Stromkunden an ein intelligentes Stromnetz, an das sogenannte Smart Grid angeschlossen werden. Dann bekommen die Verbraucher mit dem intelligenten Stromzähler eine Art Schaltzentrale für das "smarte" Heim geliefert. Ein solches Smart Meter kauft nicht nur zum günstigsten Tarif elektrische Energie ein, sondern schaltet auch die Waschmaschine erst dann ein, wenn der Strom günstig eingekauft werden kann, zum Beispiel Nachmittags. Und den Strom, den die private Solaranlage des Hausbesitzers erzeugt, verkauft das Smart Meter zu möglichst hohen Preisen und speist ihn erst dann ins Netz ein, wenn gerade viel Strom benötigt wird. Doch so viel "Smartheit" hat auch einen Nebeneffekt. Der intelligente Stromzähler wird über die Bewohner des Haushaltes alles wissen, meint Erik Tews von der Technischen Universität Darmstadt:
Über diese Stromzähler kann man sehr detailliert heraus kriegen, wer wann wie viel Strom verbraucht hat. Das sieht man also, wann jemand abends ins Bett gegangen ist, wann er das Licht ausgeschaltet hat und ob morgens im Bad einmal oder zweimal der Föhn benutzt wurde oder ob der Fernseher läuft oder Computer läuft, das kriegt man alles über so eine Stromverbrauchskurve sehr genau raus und damit natürlich auch sehr detaillierte Informationen über den Lebensumstand der Menschen, ich vermute einmal, Ihr Energielieferant kann besser einschätzen, wie viele Stunden sie am Tag fernsehen, als Sie das jetzt aus dem Bauch heraus sagen können. Wenn solche Daten danach gehandelt werden können und automatisiert auf diesen Daten Entscheidungen getroffen werden, dann kann das sehr unangenehm werden."
Die Hersteller wollen so viele Funktionen wie möglich in den Smart Meter integrieren. Verbraucherschützer kritisieren deshalb, dass die Stromversorger damit regelrechte Persönlichkeitsprofile ihrer Kunden erhalten. Und der von der Bundesregierung vorgelegte Gesetzesentwurf regelt nur unzureichend, was die Stromversorger mit diesen Daten alles machen dürfen. Dabei wären viele Verbraucher in Deutschland durchaus bereit, dem Stromversorger ihre Daten zu geben. Allerdings wollen sie dafür eine Entschädigung: Preisnachlässe oder Bargeld. Das hat eine Umfrage des Marktforschungsinstituts VansonBourne im Auftrag von Intel Security ergeben. Deren Sicherheitsexperte Rolf Haas rät deshalb den Stromanbietern, ihren Kunden entsprechend attraktive Rabatte anzubieten.
"In manchen Städten wird in der Tat schon dieser elektronische Smart Meter angeboten, wo man den Stromverbrauch elektronisch übermittelt, damit auch implizit Rabatte gebe, weil ich natürlich diesen ganzen Prozess automatisieren kann, ich brauche keinen, der irgendwelche Postkarten einscannt, wenn ich die Stromabrechnung einmal im Jahr mache oder ähnliches."
Aber auch das dürfe kein Freibrief für die Stromanbieter sein, die Souveranität der Verbraucher über ihre Daten auszuhebeln, warnt der Bundesverband der Verbraucherzentralen - und fordert bessere Regelungen im vorliegenden Gesetzesentwurf. Hier müsse die Bundesregierung noch nacharbeiten. Die sind auch bei den Sicherheitsanforderungen für die intelligenten Stromzähler angesagt. Rolf Haas weist auf ein besonders eklatantes Problem bei den Sicherheitsausweisen der Geräte, den Zertifikaten, hin:
"Es fängt damit an, dass diese Geräte teilweise überall dasselbe digitale Zertifikat benutzen. Und wenn ich eben ein Zertifikat habe oder den privaten Key dazu habe, dann habe ich im Prinzip alle Devices unter Kontrolle."
Denn, wer den intelligenten Stromzähler beherrscht, der ist nicht nur Herr im smarten Haus, sondern er kann auch das Stromnetz manipulieren.
"Es geht weniger darum, die Stromkosten oder die Stromrechnung für sich selbst zu manipulieren, sondern vielmehr zusagen: Ich simuliere, dass es einen höheren Stromverbrauch gibt, wenn ich ganz viele dieser Devices eben unter Kontrolle habe als Angreifer, und kann damit das Stromnetz zusammenbrechen lassen. Auch das hat ja neulich in Spanien stattgefunden. Zwar bei einem Stromanbieter in kleiner Form, aber die Trends sind da und die Anbieter reagieren mit besserer Technik darauf."