28C3: Hacker manipulieren Daten von intelligenten Stromzählern

Dario Carluccio und Stephan Brinkhaus zeigten heute auf dem 28. Chaos Communication Congress (28C3) wie sich Daten von sogenannten intelligenten Stromzählern (Smartmetern) auf einfache Weise manipulieren lassen, so dass dem Stromanbieter weniger Stromverbrauch übermittelt wird, als tatsächlich angefallen ist.

Ihren Hack demonstrierten sie an einem Gerät von Discovergy, einem sogenannten unabhängigen Messstellenbetreiber. Laut Gesetz haben Kunden das Recht, ihren alten Stromzähler durch ein Smartmeter auszutauschen. Der Stromanbieter wird dabei nicht gewechselt. Mit dem Smartmeter wird der Verbrauch alle zwei Sekunden über das Internet übermittelt. Kunden können ihn über die Webpage des Unternehmens online einsehen.

Mittels Fritzbox-Tracefunktion und Wireshark fanden die Hacker heraus, dass die Daten unverschlüsselt übertragen werden. Zur Authentifizierung dient lediglich die MAC-Adresse des Discovergy-Geräts. Sie zogen einfach den Netzwerkstecker des Smartmeters aus der Dose und sendeten von einem PC aus selbst Verbrauchsdaten an den Anbieter. Ein Entfernen der Plombe war dazu nicht erforderlich. Discovergy schöpfte keinen Verdacht – auch nicht als die Hacker recht untypische Daten sendeten, die grafisch dargestellt den Schriftzug „U have been hacked“ ergeben.

Den Hackern gelang es, die Verbauchsdaten so zu manipulieren, dass sie den Schrtiftzug „U have been hacked“ ergeben (Bildquelle: Live Streaming 28C3).

Ganz so leicht ist die Manipulation der Stromrechnung aber auch nicht. Da das Smartmeter zur Abrechnung kumulierte Werte sendet, verfügt der Anbieter wieder über korrekte Daten, sobald man den echten Stromzähler wieder anschließt. Für einen Betrug ist es erforderlich, das Smartmeter dauerhaft vom Netz zu trennen und 24 Stunden täglich mit dem PC falsche Werte zu senden. Spätestens bei einem Umzug dürfte der Betrug auffallen, da das Smartmeter den echten Verbrauch kennt.

Vergleichbar ist die Situation in etwa damit, wenn man von seinem Netzbetreiber dazu aufgefordert wird, den Stromzähler abzulesen und per Postkarte oder Website zu übermitteln. Auch hier bietet sich die Möglichkeit, über Jahre hinweg falsche Werte zu verwenden. Bei einem Umzug wird der Nachmieter jedoch auf Protokollierung des echten Zählerstandes bestehen.

Auch wiesen Carluccio und Brinkhaus auf datenschutzrechtliche Probleme hin. Wenn der Stromverbrauch alle zwei Sekunden übermittelt wird, könne man daraus sogar erkennen, welches TV-Programm der Nutzer schaut. Auch hintergrundbeleuchtete LCD-Fernseher verbrauchen mehr oder weniger Strom, je nachdem, ob das aktuelle Bild viele helle oder dunkele Stellen zeigt.

Der Stromverbrauch eines Fernsehers hängt von der Bildhelligkeit ab. So lässt sich ein Profil erstellen, mit dem man ermitteln kann, welche TV-Sendung der Nutzer schaut (Bildquelle: Live Streaming 28C3).

Da der Verbrauch des gesamten Haushalts gemessen wird, kommt es zu Störeinflüssen, etwa durch den Kompressor des Kühlschranks, der sich periodisch ein- und ausschaltet oder eine Waschmaschine. Diese Einflüsse konnten die Hacker jedoch durch eine Pearson-Korrelation so weit minimieren, dass das Programm identifizierbar bleibt.

Nicht nur Discovergy kann die Stromverbrauchsdaten einsehen und auswerten. Das kann möglicherweise jeder, da der Datenverkehr unverschlüsselt abgewickelt wird, wenn der Kunde im Browser statt www.discovergy.com nur discovergy.com eingibt. Discovergy ist offensichtlich entgangen, dass ein Zertifikat, das auf *.discovergy.com ausgestellt ist, nicht für Second-Level-Domain selbst gilt.

Das alleine wäre nicht so schlimm, wenn das Unternehmen nicht Kunden, die https://discovergy.com eingeben und die Zertifikatswarnung des Browsers ignorieren auf die unverschlüsselte Website http://discovergy.com umleiten würde. Gibt der Nutzer nun sein Passwort ein, wird dieses im Klartext übertragen.