„Outbreak“ – keine Killer, aber genauso lautlos im Smart Metering

1995 kam Wolfgang Petersens Biowaffen-Thriller unter dem deutschen Nebentitel „lautlose Killer“ in die Kinos, der etwas vereinfacht darin gipfelt, wie mit einem hochansteckenden Virus umgegangen werden soll. Auf der einen Seite die Philanthropen auf der Suche nach dem Impfstoff, auf der anderen ein austickender US-General, der die besonders einfache und nachhaltige Lösung des noch lokalisierbaren Problems mit einer Aerosolbombe anordnet und am Ende des Films arrestiert wird.

Kein Happy End finden flächendeckende Virusinfektionen üblicherweise im Internet, auch ohne die Option mit der Bombe. Stichworte I Love You, Conficker, Melissa, Nimda, Sasser und viele mehr. Hat mit Smart Metering nichts zu tun? Oder doch? Die BSI-Architektur schreibt ein Smart Metering Gateway als Bindeglied mit Internet-Anschluß zwischen den Zählern zuhause und den Betreibern vor, das optional die Proxy-Funktion für intelligente Hausgeräte übernehmen soll. Auch die Nutzeranfragen über den persönlichen Verbrauch, mit dem Smart Metering dem Endkunden schmackhaft gemacht werden soll, sind von diesem Gateway zu beantworten.

Es verhält sich wie im vorne mit Iriserkennung und Fingerabdruck-Terminal gesicherten Rechenzentrum, in dem die hintere Tür zum Hof verkeilt wurde, damit der Paketbote eine erwartete Lieferung drinnen abstellen kann. Auch wenn das Gateway abgesehen vom sogenannten „Wake Up“ Dienst, mit dem das Gateway Verbindung zum legitimen Betreiber aufnimmt, keinerlei zugängliche Schnittstellen zum öffentlichen Internet exponiert – auf dessen „Rückseite“ soll es Verbindungsversuche aus dem intelligenten Zähler- und Heimnetz bearbeiten können. Gelingt es dem Hacker, solche Heimnetze zu kompromittieren, hat er den gewünschten Ausgangspunkt für den Angriff auf das Gateway. Um hundert Ecken gedacht? Man betrachte das klassische Szenario zur Kaperung von korporativen Netzen: Andocken, Eindringen in einen Rechner, Eskalation von Privilegien, Überspringen auf die anderen Rechner des Netzes. Intelligente Hausgeräte können, müssen aber nicht das Smart Metering Gateway als Brücke zum Internet verwenden – der Anschluß an den hauseigenen DSL-Router ist nicht nur denkbar, sondern für manche Geräte bereits heute Realität. Und letzterer ist nur scheinbar die unüberwindliche Festungsmauer zuhause (kleiner Test: haben Sie das Default-Passwort Ihres DSL-Routers geändert?).

Mehrere Faktoren arbeiten solch einem Szenario zu. Zuerst der Skalenfaktor – es wird nicht unendlich viele Kombinationen aus Gateway und Heimnetzendgeräten geben. D.h. wurde eine Kombination aus DSL-Router/Heimnetzgerät/Gateway „geknackt“, ist die Wahrscheinlichkeit groß, dieses Muster mühelos – vom heimischen Schreibtisch aus – replizieren zu können. Weder vertiefte Branchenkenntnisse, die das böse Tun zumindest erschweren, noch schwer beschaffbare oder teure Hardware sind notwendige Voraussetzung für den Einstieg. Kunden und Betreiber freuen sich über niedrige Kosten für Endgeräte und Gateways – wenn nicht, werden sie diese zu erzwingen versuchen. Damit ist für Eigenentwicklungen von Betriebssystemen, die einen gewissen Schutz vor Gelegenheitsangreifern bieten, wenig Raum. Sog. „embedded“-Versionen von gängigen Betriebssystemen werden zum Einsatz kommen, die nicht über jeden Zweifel erhaben sind.

Das BSI deutet diese Problematik zwar an, führt sie aber nicht näher aus. Schade. Für die Betreiber. Denn im Fall der flächendeckenden Kompromittierung der Infrastruktur bleiben sie auf diesem Problem der sog. „Business Continuity“ sitzen. Was, wenn im Gateway plazierte Malware dazu führt, daß das Gateway keine oder nur noch manipulierte Verbindungen aufbaut? Datentechnisch ist das Gateway dem Betreiber entglitten. Auch heute schon kein Problem im Einzelfall, der Stoff für das TV-Vorabendprogramm liefert,  – aber ganze Flotten von Montagetrupps, die die gesamte Kundenbasis sequentiell zur Reparatur anfahren? Unrealistisches Szenario? Versuchen Sie doch einfach, sich gegen diesen Fall zu versichern. Wenn es das Problem nicht gibt, verlangt Ihre Versicherung gegen dieses Risiko 0 € Prämie. An dieser Stelle sei einfach die Behauptung aufgestellt, daß nach der Analyse durch den Rückversicherer die Prämie nicht 0 € betragen wird.

Lösungen sind denkbar, jedoch im Hinblick auf den regulatorischen Aspekt nicht trivial. Dies ist nur ein Grund, warum Blaupausen von Standard-IT Lösungen nicht helfen werden. Tiefgehende Analyse der Anforderungen im Hinblick auf denkbare Bedrohungen, sorgsame Auswahl der Lieferanten und vor allem erschöpfende Praxistests werden dem Betreiber der Smart Metering Infrastruktur nicht erspart bleiben.

Wolf-Dieter Wurst
Senior Systems Architect
Nash Technologies GmbH

Mehr Informationen:

Nash Technologies GmbH
Lorenzstraße 10
70435 Stuttgart
Bernd Stahl (zuständig für Pressearbeit)
E-Mail: bernd.stahl@nashtech.com
Fon: +49 711 33501 – 7573.

www.nashtech.com
Blog: http://nashtechblog.wordpress.com/
Twitter: http://twitter.com/#!/NashTechGermany
Facebook: http://www.facebook.com/nash.technologies

0 Responses to “„Outbreak“ – keine Killer, aber genauso lautlos im Smart Metering”



  1. Hinterlasse einen Kommentar

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ photo

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s




Twitter us

Enter your email address to follow this blog and receive notifications of new posts by email.

Schließe dich 24 Followern an

Am Besten bewertet

Februar 2012
M D M D F S S
« Jan   Mär »
 12345
6789101112
13141516171819
20212223242526
272829  

Flickr Photos

Senja

Goal

Jokulsarlon

Mehr Fotos

RSS Technology Review Blogs

  • Uber-Kapitalismus Oktober 22, 2014
    Sind Online-Dienste wie Uber die Vorboten einer neuen, besonders aggressiven Unternehmenskultur?
  • Kreditkartensicherheit: Komplizierter geht's nicht Oktober 21, 2014
    Seit Jahrzehnten sind Kreditkarten unsicher. Eine Unterschrift von der Vorlage zu fälschen, ist simpel. Nun wollen Mastercard und Visa mit Fingerabdruckscannern und elektronischer Unterschrift aufrüsten. Dabei wäre die Lösung so viel einfacher und könnte schon längst umgesetzt werden.
  • Kreditkartensicherheit - warum einfach, wenn's auch kompliziert geht? Oktober 21, 2014
    Seit Jahrzehnten sind Kreditkarten unsicher. Eine Unterschrift von der Vorlage zu fälschen, ist simpel. Nun wollen Mastercard und Visa mit Fingerabdruckscannern und elektronischer Unterschrift aufrüsten. Dabei wäre die Lösung so viel einfacher und könnte schon längst umgesetzt werden.
  • Milliardengeschenk an die Industrie Oktober 20, 2014
    Die EU verschleudert wieder mal CO2-Emissionszertifikate – mit absurden Argumenten.
  • Eizellen-Einfrieren: Sind Apple und Facebook sozial? Oktober 17, 2014
    Zwei IT-Riesen bieten an, Mitarbeiterinnen das „Social freezing“ zu bezahlen: das teure Entnehmen und Einfrieren ihrer Eizellen. So lässt sich erst Karriere machen, Kinder sind später trotzdem möglich. Das ist keine Sozialleistung, wie es die Firmen verkaufen.
  • Die neue Wahrheits-Ästhetik Oktober 16, 2014
    "Japanese School Girl Ninja", ein Werbevideo des japanischen Getränkeherstellers Suntory, wurde in weniger als zwei Wochen fünf Millionen Mal geklickt. Ein Anlass, über die Folgen wackelig virtueller Realitäten nachzusinnen.
  • Klare Sache Oktober 15, 2014
    Solarpanels müssen nicht hässlich sein. Nun gibt es durchsichtige, die sich als Fenster oder Bildschirme einsetzen lassen.
  • Schicht im Schacht Oktober 14, 2014
    Böse Nanobots sorgen in Hugh Howeys Science-Fiction-Reihe dafür, dass die Menschheit unter die Erde muss.
  • Was ist Wissenschaft? Oktober 13, 2014
    Twitter sagt: Zwei ehemalige Kollegen, Tobias Hürter und Max Rauner, haben eine spannende Frage aufgeworfen: „Ist das Forschung oder kann das weg?“
  • Ceatec 2014: Nette Technik, schlechte Show Oktober 10, 2014
    Japans Innovationsschaufenster zeigt, dass die hiesigen Elektronikkonzerne sich neu positioniert haben. Nur leider schaufeln die Messeveranstalter dem einstigen Mekka der Technikfreaks ein tiefes, tiefes Grab.

Folgen

Erhalte jeden neuen Beitrag in deinen Posteingang.

%d Bloggern gefällt das: