Unverschlüsselt

Wie leicht Smart Meter manipuliert werden können

Hacker haben jetzt gezeigt, wie leicht sich einige intelligente Stromzähler manipulieren lassen. Da die Daten teilweise unverschlüsselt übertragen werden, konnten Dario Carluccio und Stephan Brinkhaus ihre eigenen Verbrauchsangaben übermitteln. Doch damit hören die Sicherheitsprobleme bei den sogenannten Smart Metern nicht auf.

Netzausbau© Günter Menzl / Fotolia.com

Berlin (red) - Wie ZDNet erläutert, zeigten die Computerexperten auf dem 28. Chaos Communication Congress (28C3) ihre Vorgehensweise an einem Stromzähler des unabhängigen Messstellenbetreibers Discovergy.

Übermittlung fiktiver Verbrauchsdaten

Dabei war es wohl lediglich nötig, den Netzstecker des Smart Meters zu ziehen und schon konnten selbst eingegebene Verbrauchsdaten übermittelt werden. Zur Identifizierung diente lediglich die MAC-Adresse des Smart Meters. Beim Anbieter fiel die Manipulation nicht auf, obwohl man die Daten sogar so gestaltete, dass eine graphische Auswertung den Schriftzug "U have been hacked" ergab.

Ganz so leicht ist der Betrug am Stromanbieter dann aber doch nicht. Wie die Hacker erklärten, müsste man dafür nämlich dauerhaft falsche Daten senden. Sobald der intelligente Stromzähler wieder am Netz ist, werden wieder die korrekten Daten übermittelt. Selbst bei einer dauerhaften Manipulation würde der korrekte Verbrauch spätestens beim nächsten Umzug bekannt.

Der Stromzähler weiß, was gestern im Fernsehen lief

Carluccio und Brinkhaus wiesen aber noch auf weitere Sicherheitsprobleme mit Smart Metern hin. Durch die verbrauchsgenaue Übermittlung der Daten, die alle paar Sekunden erfolgt, könne man beispielsweise das Fernsehprogramm identifizieren. Da der Bildschirm je nach Helligkeit mal mehr, mal weniger Strom verbraucht, könnte man ein Profil erstellen, das erkennen ließe, welche Sendung gerade läuft. Da die Daten unverschlüsselt übertragen werden, könnte nicht nur der Stromanbieter, sondern auch Dritte die Daten abfangen. Discovergy selbst leite Kunden, die die Zertifikatswarnung ihres Browsers ignorierten, auf eine unverschlüsselte Website um.