Das gigantische unregulierte Kraftwerk in der Cloud
(berthub.eu)- Da Solarinstallationen für Verbraucher und Unternehmen an die Cloud-Management-Plattformen weniger Hersteller gebunden sind, unterliegt allein in den Niederlanden bereits eine Leistung in der Größenordnung von mindestens 25 mittelgroßen Kernkraftwerken einer Fernsteuerung
- Wechselrichter führen über Apps, Websites und Hersteller-Server das Hochladen von Statistiken, die Leistungssteuerung und Firmware-Updates aus; dieser zentrale Pfad schafft das Risiko, dass Hunderttausende bis Millionen Installationen gleichzeitig abgeschaltet werden
- Der niederländische TSO TenneT geht davon aus, dass das Stromnetz eine Störung von 3 GW abfangen kann, doch die installierte Solarleistung in den Niederlanden liegt bei über 25 GW, und ein Wechselrichterhersteller steuert weltweit 195 GW
- Während es für einzelne Wechselrichter und physische Anschlüsse Regeln gibt, werden zentrale Management-Websites nicht als Teil des Stromnetzes, sondern wie gewöhnliche Websites behandelt und unterliegen daher kaum einer strengen Aufsicht durch Energierecht
- Damit NIS2 und der Cyber Resilience Act diese Regulierungslücke verkleinern, müssen die Umsetzungen in den Mitgliedstaaten große Solar-Manager sowie Befugnisse zur Fernsteuerung und zu Updates ausdrücklich einbeziehen
Netzrisiken durch zentralisiertes Solar-Management
- Kürzlich konnte ein niederländischer Hacker 4 Millionen Solaranlagen steuern, und ähnliche Vorfälle gab es schon zuvor
- Zugehörige Berichte und Erklärungen finden sich bei FTM, Euractiv, Victor Gevers und PV Magazine
- Das Kernrisiko sind nicht einzelne Solarpanels, sondern die Struktur, in der zahllose Installationen auf die zentralen Management-Plattformen weniger Unternehmen konzentriert sind
- Die Leistung der Solarpanels in den Niederlanden entspricht mindestens 25 mittelgroßen Kernkraftwerken, doch in Europa gibt es für solche zentralen Manager kaum Gesetze oder Regeln
- Cloud-Management-Plattformen können durch Fehler, Hacks oder absichtliches Handeln Hunderttausende bis Millionen Solarpanels gleichzeitig dauerhaft außer Betrieb setzen, was zu einem Zusammenbruch des europäischen Stromnetzes führen könnte
- Durch die Bestätigung des niederländischen Netzbetreibers TenneT und die Erkenntnisse ethischer Hacker ist dieses Szenario keine rein theoretische Annahme
Was passiert, wenn das Gleichgewicht im Stromnetz kippt
- Das kontinentaleuropäische Synchronnetz verbindet den größten Teil Europas und darüber hinaus und ermöglicht die gemeinsame Nutzung der Kapazität Tausender großer Kraftwerke sowie von Wind- und Solaranlagen
- Im Stromnetz müssen eingespeiste und verbrauchte Leistung jederzeit exakt im Gleichgewicht sein
- Wird zu viel Strom eingespeist, steigt die Frequenz und es kann zu Überspannung kommen
- Fehlt Strom, sinkt die Frequenz
- Zum Schutz können Teile oder ganze Länder vom Netz getrennt werden, und die Wiederherstellung ist anschließend schwierig
- Für große Stromerzeuger gelten hohe Standards
- Kraftwerke werden überwacht
- Ausrüstung muss zahlreiche Anforderungen erfüllen
- Personal muss über passende Qualifikationen und Zertifizierungen verfügen
- Vorfälle können untersucht und Bußgelder verhängt werden
- Dagegen ist die enorme Solarleistung Europas, die über zentrale Management-Plattformen gebündelt wird, nicht auf demselben Niveau reguliert
Der regulierte Bereich: Wechselrichter und physische Anschlüsse
- Solarpanels sind nicht direkt mit dem Stromnetz verbunden; dazwischen sitzt ein Wechselrichter
- Der Wechselrichter wandelt den Strom der Panels in eine Form um, die das Netz verarbeiten kann
- Für Wechselrichter gibt es Regeln, zum Beispiel Bedingungen, unter denen sich eine Anlage bei Überlastung des lokalen Netzes selbst trennen muss
- Die zugehörigen Regeln stehen in Artikel 13 der Rules for Generators
- Die Niederlande haben festgelegt, dass nur von Synergrid in Belgien zugelassene Wechselrichter installiert werden dürfen
- Die entsprechende Liste steht in der Bekanntmachung von NetbeheerNederland
- Insidern zufolge werden diese Regeln jedoch nicht durchgesetzt, und viele Geräte sind dennoch mit dem Netz verbunden
- Einzelne Wechselrichter können dem größeren Stromnetz nur schwer erheblichen Schaden zufügen; insofern ist dieser Teil vergleichsweise beherrschbar
Die Regulierungslücke: Hersteller-Clouds und Fernsteuerung
- Die meisten Wechselrichter sind direkt oder indirekt mit dem Internet verbunden, kommunizieren mit dem Hersteller und laden Solarpanel- und Erzeugungsstatistiken hoch
- Besitzer von Panels prüfen den Status ihrer Anlagen in einer App oder auf einer Website über die Server des Herstellers
- Technisch wäre es nicht nötig, alle Funktionen über Hersteller-Server abzuwickeln, doch viele Verbrauchergeräte sind genau so entworfen
- Überwachungskameras und moderne Autos sind ähnliche Beispiele
- Apps oder Websites dienen nicht nur der Statusanzeige, sondern können auch Funktionen zum Ein- und Ausschalten der Panels haben
- Über den Herstellerpfad lassen sich neue Software- und Firmware-Updates für Wechselrichter automatisch oder manuell installieren
- Auch wenn die Nutzer-App keinen Ein-/Aus-Schalter hat, kann die Leistungssteuerung über Funktionen für Installateure oder Servicetechniker unterstützt werden
Wie zentrale Steuerung zu realen Schäden führen kann
- Weil alles über den Hersteller läuft, kann dieser alle Panels ein- oder ausschalten und sogar Software auf Wechselrichtern installieren, die falsche Ströme ins Netz einspeist
- Selbst wenn Hersteller das nicht absichtlich tun, kann schon ein Update-Fehler große Probleme verursachen
- Auch CrowdStrike installierte Software automatisch; durch einen jüngsten Update-Fehler fielen weltweit Millionen Computer aus, und die Wiederherstellung kostete Tage und Milliarden Dollar
- Wird ein Hersteller gehackt, können fehlerhafte, vom Angreifer kontrollierte Software-Updates an Wechselrichter verteilt werden
- Die niederländischen ethischen Hacker Wietse Boonstra und Hidde Smit konnten ohne Genehmigung des Herstellers erfolgreich Software in Solaranlagen verändern
- Die betreffende Schwachstelle ist unter CVE-2024-21881 erfasst
- Wird Software innerhalb der Installationen manipuliert, kann der Schaden für das Stromnetz größer sein und die Wiederherstellung deutlich länger dauern
Die Größenordnung übersteigt die Fähigkeit zur Netzregelung
- Im Stromnetz stehen Erzeugungsquellen bereit, die Leistung erhöhen oder senken, um Ungleichgewichte auszugleichen
- Zusätzlich zur Feinregelung gibt es größere Reserven, um Ereignisse wie den Ausfall eines Kraftwerks relativ schnell abzufangen
- Als Beispiel dient TenneTs Erklärung zu den balancing markets
- Hersteller von Solar-Wechselrichtern können die Leistung von Millionen Installationen auf Haus- und Unternehmensdächern ein- und ausschalten
- TenneT erklärte, dass das niederländische Stromnetz eine Störung von 3 GW abfangen kann
- In den Niederlanden sind einschließlich großer Anlagen mehr als 25 GW an Solarpanels installiert, also weit mehr als 3 GW
- Ein Wechselrichterhersteller steuert weltweit 195 GW, von denen schätzungsweise etwa die Hälfte in Europa steht
Juristische Lücke und mögliche Auslegungen
- Gäbe es ein Bedienpult, mit dem sich Dutzende Kernkraftwerke gleichzeitig abschalten ließen, wäre es Gegenstand von Sicherheitsregeln und Inspektionen; Haushalts-Wechselrichter und Solarpanels werden jedoch als gewöhnliche Verbrauchergeräte behandelt
- Diese Einstufung ist nachvollziehbar, solange man nur einzelne Installationen betrachtet, die kaum großen Schaden anrichten können; konzentriert sich die Verwaltung aber auf wenige Anbieter, ändert sich die Lage
- Der Bericht von Secura für das niederländische Topsector Energie ist eine wichtige Quelle, um die Lage zu verstehen
- Die Panels vor Ort müssen einzeln nur eher leichte Regeln einhalten, doch die Management-Websites der Panels werden nicht als Teil des Stromnetzes, sondern wie bloße Websites behandelt
- Man könnte zentrale Management-Unternehmen eher als Stromnetzbetreiber denn als „Geburtstagskalender-Verwalter“ betrachten, doch dafür müsste man bestehende Gesetze wohl sehr kreativ auslegen
Die Rolle von NIS2 und dem Cyber Resilience Act
- Die neue EU-Richtlinie NIS2 wird derzeit in den Mitgliedstaaten umgesetzt und führt Energie in der Kategorie „Very Critical Sectors“
- Bei der Umsetzung von NIS2 müssen die Mitgliedstaaten ausdrücklich festhalten, dass Manager von Solarpanels, die viele Anlagen ein- und ausschalten oder Updates installieren können, in den Geltungsbereich fallen
- Der Cyber Resilience Act konzentriert sich auf Geräte wie Wechselrichter und Panels, doch wenn Geräte ohne zentrales Bedienpult, App oder Service nicht funktionieren, könnten auch diese darunterfallen
- SolarPower Europe ist der Ansicht, dass unter den breiten Cybersicherheitsprinzipien von NIS2 sektorspezifische Anforderungen für den Solarsektor nötig sind
- Diese Anforderungen sollten für Akteure gelten, die genug Kapazität steuern, um das Stromnetz zu stören
- Das zugehörige Dokument ist in der Position von SolarPower Europe verlinkt
- SolarPower Europe erwähnt, dass es in Australien und Deutschland bereits Regeln gibt, sagt jedoch, dass sie zumindest in Australien nicht durchgesetzt werden
Alternativen zur Verringerung der zentralen Anbindung
- Solarpanels müssen nicht zwingend mit einer zentralen Cloud verbunden sein
- Auch ohne Internet kann man sich direkt mit der eigenen Installation verbinden und Erzeugungsgrafen ansehen; auch die alten Panels des Autors waren nicht mit dem Internet verbunden und lieferten dennoch Grafiken
- Ein ähnlicher Ansatz könnte auch für Kameras, Waschmaschinen, Wärmepumpen, Autos und Ladesäulen sowie Heimbatterien besser sein
- Wärmepumpen, Autos und Ladesäulen sowie Heimbatterien haben ebenfalls das Potenzial, das Stromnetz zu stören
- Als Zwischenschritt könnte man verlangen, dass Bedienfelder nur Grafiken anzeigen und Panels, Ladegeräte oder Batterien nicht aus der Ferne ein- oder ausschalten können
Es braucht explizite Regulierung auf EU-Ebene
- Einige wenige große Nicht-EU-Unternehmen können einen erheblichen Teil der Energieversorgung kontrollieren, ohne dem Energierecht zu unterliegen
- Eine Lösung allein aus bestehendem Recht heraus erscheint schwierig
- NIS2 und der Cyber Resilience Act sind Kandidaten, um strengere Regeln auf zentrale Management-Plattformen anzuwenden
- Wenn die Umsetzungen in den Mitgliedstaaten ausdrücklich festhalten, dass zentrale Management-Akteure in den Geltungsbereich fallen, bleibt weniger Raum für Zweifel
- Das Recht einzelner Staaten allein reicht womöglich nicht aus, um riesige Nicht-EU-Unternehmen zu erfassen; Zusammenarbeit innerhalb der EU ist daher unerlässlich
1 Kommentare
Hacker-News-Meinungen
Dass niederländische Solarpanels 25 mittelgroßen Kernkraftwerken entsprechen sollen, roch verdächtig. Beim Nachprüfen zeigte sich: Der Autor schaut auf die Nennleistung. Das ist bei stark schwankenden Stromquellen eine fast nutzlose Kennzahl. Ein Solarpanel in einem sonnenlosen Keller hat dieselbe Nennleistung wie dasselbe Panel in der Sahara
Betrachtet man die tatsächliche jährliche Stromerzeugung, liegt sie eher bei etwa 1,5 durchschnittlichen Kernkraftwerken. 2023 erzeugten niederländische Solaranlagen 21 TWh; 2021 erzeugten US-Kernkraftwerke mit 54 Reaktoren 778 TWh
Damit lässt sich das tatsächliche Risiko besser einschätzen. Ich stimme zu, dass Regulierung und Sicherheitspraktiken deutlich besser werden müssen, aber wenn man mit einem großen Lkw in den richtigen Strommast fährt, könnte man vermutlich einen Stromausfall ähnlicher Größenordnung verursachen
In diesem Moment kann ein Angreifer nicht nur die gesamte Leistung der Solarpanels ins Netz drücken, sondern auch angeschlossene Batterien mit neuer Firmware in einen vollständigen Entlademodus versetzen, indem Sicherheitsmechanismen umgangen werden. Im schlimmsten Fall könnte ein Angreifer versuchen, nicht nur Wechselrichter, sondern auch Batterien, Solarpanels, Sicherungen und Umspannwerke physisch zu beschädigen. Wenn ein Wechselrichter durchbrennt und ein Feuer auslöst, ist das für den Angreifer kein Bug, sondern ein Feature
Deshalb liegt es nicht nur auf dem Niveau von 25 mittelgroßen Kernkraftwerken, sondern ist tatsächlich wahrscheinlich deutlich größer; und mit fortschreitender Energiewende wächst diese Zahl jedes Jahr exponentiell
Das gehört zu den beängstigendsten Sicherheitsenthüllungen, die ich in letzter Zeit gesehen habe. Viel schwerwiegender als ein iPhone-Zero-Day
Ein schlimmer iPhone-Bug könnte dazu führen, dass einige Menschen sterben, weil sie keinen Notruf absetzen können, und weltweit verteilte wirtschaftliche Schäden in Milliardenhöhe verursachen. Dieses Bündel von Bugs hingegen könnte während einer Hitzewelle Umspannwerke ausschalten, Stromausfälle bei Tausenden bis Millionen Haushalten, Unternehmen und Fabriken verursachen und Zehntausende Menschen töten. Auch der wirtschaftliche Schaden wäre viel größer und würde sich wahrscheinlich auf bestimmte Regionen konzentrieren
Bei Angriffen oder Störungen ist nicht die gesamte erzeugte Energie die wichtige Kennzahl, sondern die Momentanleistung. Denn wenn eine Erzeugungsquelle plötzlich wegfällt, ist das die Menge, die die rotierende Reserve anderer Kraftwerke auffangen muss
Die Nettoleistung von Borssele, dem im Artikel genannten mittelgroßen Kernkraftwerk, beträgt 485 MWe. Daher spricht man tatsächlich von mehr als 25 mittelgroßen Kernkraftwerken
Zusätzlich zu dem, was andere gesagt haben, kann hier also ebenfalls ein Faktor von etwa 2 dazukommen. Im Artikel heißt es außerdem „mittelgroß“, daher erscheint ein Faktor von etwa 3 plausibel
Ich verstehe den Hinweis, dass es kein exakter Eins-zu-eins-Vergleich ist. Dennoch dürfte die tatsächliche Leistung an einem wolkenlosen Sommertag, abgesehen von Degradation und Kapazitätsproblemen, nahe an den angegebenen Werten liegen. Die Niederlande sind klein, daher ist es auch nicht unwahrscheinlich, dass das ganze Land gleichzeitig einen wolkenlosen Tag erlebt
Im Sommer rechnet man bis zu einem gewissen Grad mit Sonne und nimmt einen Teil der im Winter genutzten Gaskraftwerke zur Wartung heraus; in Zukunft könnte man vielleicht auch von sommerlicher Wasserstoffproduktion ausgehen. Allerdings ist ein Hack wahrscheinlich ein vorübergehendes Problem, daher erwarte ich an dieser Stelle keine großen Schwierigkeiten
Ich arbeite an IoT-Cloud-Systemen. Der Grund, warum man es über die Server des Herstellers laufen lässt, ist, dass weder Verbraucher noch Installateure die nötige Kompetenz haben, ihr eigenes Netzwerk oder von außen erreichbare Geräte einzurichten. Sie wollen außerdem auch von außerhalb des Hauses auf ihre Panels zugreifen
Ich kann das, und die meisten HN-Leser können es vermutlich auch, aber normale Verbraucher oder Installateure nicht. Traurig, aber wahr
Aus Programmiersicht ist das ebenfalls einfacher. Man braucht kein separates Cloud-Sync-Protokoll und lokales Steuerprotokoll, sondern baut nur ein lokales Protokoll und tunnelt es, wenn keine direkte Verbindung möglich ist, über eine dumme Cloud
Ich habe einmal einen Controller für eine 40-Fuß-Container-Batterie gebaut; ich habe keine Batterie-API von Hitachi bekommen. Wir mussten alles selbst schreiben
Ich verstehe, dass man Messdaten in Echtzeit sehen möchte, aber Solarpanels fernzusteuern wirkt wie ein Sicherheitsvorfall, der nur darauf wartet, zu passieren. Ich bin ziemlich froh, einen Wechselrichter zu verwenden, der nicht mit dem Internet verbunden ist
Ich lebe sowohl bei Strom als auch bei Wasser off-grid, und es hat mich wirklich genervt, dass das mit dem Wechselrichter mitgelieferte Monitoring nur online möglich ist. Selbst wenn ein Netzwerk vorhanden ist, funktioniert die App nicht.
Ich habe das gelöst, indem ich einen Raspberry Pi angeschlossen habe, der die Daten dort ausliest. Aber wenn man den Wechselrichter vom Internet trennt, erstellt er einfach ein neues Netzwerk. Deshalb ist jetzt mitten in einer abgelegenen Gegend, wo niemand ist, ständig ein öffentliches Netzwerk aktiv, das sich nicht abschalten lässt.
Ich überlege, ihn zu öffnen und das WiFi-Modul auszulöten, aber da ich ihn ohnehin in ein paar Jahren ersetzen will, möchte ich mich nicht versehentlich umbringen.
Es könnte schon reichen, nur die Antenne vom WiFi-Modul zu trennen. Das hilft, die Netzwerkverbindung zu verhindern.
Mit Formulierungen wie „0,002 MW – ein kleines Bündel technischer Standards, kein Abschluss und keine Zertifizierung nötig“ sollte man vorsichtig sein. Besonders dann, wenn man Politiker und Nichttechniker einbezieht.
Die heutige IT-Infrastrukturkatastrophe, die schon fast an kriminelle Vernachlässigung grenzt, wurde größtenteils von Leuten mit Abschlüssen geschaffen und vorangetrieben, einschließlich Absolventen von Eliteuniversitäten. Einer der Top-Beiträge auf HN am vergangenen Wochenende handelte davon, dass ein Regierungsberater, früher Führungskraft bei einem der bekanntesten Tech-Unternehmen, Stanford-Studierenden riet, sich unethisch zu verhalten und danach genug Geld zu verdienen, um Anwälte zu engagieren und die Folgen verschwinden zu lassen.
Auch die meisten heutigen Zertifizierungen sind personenbezogene Nachweise und im Grunde meist bedeutungslose Vendor-Schulungen samt Abhängigkeit. Dieselben Leute bauen und betreiben Systeme von Anbietern, die nahezu kriminell nachlässig sind. Zertifizierungen für IT-Praktiken sind ebenfalls eher Compliance-Theater, das hilft, Verantwortung zu vermeiden, als dass es tatsächlich ausreichende Kompetenz garantiert.
Um mit der Behebung zu beginnen, sollten Unternehmen meiner Ansicht nach haftbar gemacht werden. CrowdStrike ist zum Beispiel nicht der schlimmste Fall, aber ein aktueller. Wenn man das als Fahrlässigkeit einstuft und sie für sämtliche Kosten verantwortlich macht, könnte der Aktienkurs einbrechen, und das Management sowie die oberen Ebenen der Organisation müssten während ernsthafter Ermittlungen eine mögliche Gefängnisstrafe fürchten.
Wenn Investoren und Führungskräfte anderer Unternehmen sehen, dass sich die Spielregeln geändert haben, werden auch ihre Interessen anfangen, sich auszurichten. Als Nächstes könnten Organisationsstrukturen und Praktiken insgesamt stark erschüttert werden. Denn Unternehmen werden erkennen müssen, dass sie Kulturen wie Jobhopping, lebenslaufgetriebene Entwicklung, LeetCode-Social-Club-Kultur und die wie Verkaufsflächen parzellierten Lehen von IT-Vendoren beenden müssen.
Einige Unternehmen könnten orientierungslos werden und verschwinden. Zu viele Menschen sind auf das alte Spiel ausgerichtet, sodass sie im neuen Spiel der Verantwortung das Gefühl haben, außer „faken, bis es funktioniert“ keine Karriereoption zu haben – und paradoxerweise könnten sie damit das Unternehmen mit in den Abgrund reißen.
Bestrafung für Fehler hat zur Katastrophe von Tschernobyl geführt.
Zwischen Cloud-/IaaS-Anbietern sieht man Wettbewerb, weil tatsächlich Rechenzentren und Netzwerke gebaut werden müssen und es deshalb eine gewisse Preisuntergrenze gibt. Im Bereich „Antivirus“ konnte CrowdStrike den Markt jedoch faktisch dominieren, und die nachgelagerten Organisationen und Kunden können spezielle Verfahren – etwa echte unabhängige Hot-Spare-Backups vorzuhalten oder CS-Signaturupdates zuerst in einer Testumgebung kommunizieren zu lassen – nur schwer rechtfertigen.
Die ausführlich beschriebenen kulturellen Symptome sind eher Schaum auf realer wirtschaftlicher Aktivität, die zwischen mehreren Kosten-Nutzen-Optima hin- und herschwappt, also eine tolerierte wirtschaftliche Ineffizienz.
Davon loszukommen ist sehr schwierig. IT ist insgesamt ausreichend standardisiert, sodass Unternehmen, die irgendeine Form von IT-Service benötigen, am Ende nach Kosten auswählen und das wählen, was andere Unternehmen in ihrer Branche wählen. Selbst wenn es mehrere Anbieter gibt, konvergiert es oft auf dieselbe Technologie. Weil es Software ist. Dadurch sinkt das finanzielle Risiko der Kunden, aber das tatsächliche globale und systemische Risiko steigt.
Wissen ohne Schlussfolgern ist der Weg in die Bürokratie.
Ein augenöffnender Text. Eines der Argumente für erneuerbare Energien war neben der Reduktion von Emissionen ihr Potenzial, die Stromerzeugung zu dezentralisieren. Sie also resilienter zu machen und die Produktionsmittel zu demokratisieren.
Dieser Artikel zeigt jedoch, dass wir unbeabsichtigt einen neuen Flaschenhals eingeführt haben. Wenn man auch noch die globale Sicherheitslage berücksichtigt, wird es noch besorgniserregender.
Erneuerbarkeit und Dezentralität sind unterschiedliche Achsen.
Deshalb treiben sie statt Eigenverbrauch und halbautonomen Systemen Netzanschluss und Cloud-verbundenen Müll voran. Man wird an den Dienst von jemand anderem gebunden und zu dessen Sklaven gemacht. „2030 wirst du nichts besitzen“ ist bei modernen Autos bereits Realität. Der Hersteller hat deutlich höhere Zugriffsrechte als der formale Eigentümer und ist mit dem OEM verbunden; bei modernem IoT- und Cloud+Mobile-Müll ist es genauso. Die Leute verstehen erst, dass sie nichts besitzen, wenn es zu spät ist.
Ein weiteres einfaches Beispiel: Die meisten Banken der Welt haben offene Standards für den automatischen Austausch von Transaktionen zwischen Banken. In der EU ist das die OpenBank API, mit signierten XML- und JSON-Feeds. Es gibt keinen Grund, Kunden daran zu hindern, solche APIs direkt aus einem persönlichen Desktop-Client zu nutzen. Alle Banken, die ich kenne, blockieren eine solche Nutzung. Dadurch kann man nicht alle von der Bank signierten Transaktionshistorien auf der eigenen Ausrüstung speichern und hat nichts in der Hand. Wenn ein ernstes Problem auftritt, hat man keinen Nachweis darüber, was die Bank hat und was mit dem Geld gemacht wurde. Früher gab es Papierdokumente; heute wären signiertes XML/JSON, das viel schwerer zu fälschen ist, besser als Papier. Aber 99 % dürfen nichts besitzen, also fehlt das.
Es gibt auch vernetzte Autos mit SIM. Aber statt dem formalen Eigentümer des Autos eine direkte API und einen Client oder ein WebUI bereitzustellen, muss alles über den OEM laufen. Der faktische Eigentümer ist also der OEM. Man kann das Auto nicht einmal vom Netz trennen. In der EU ist es sogar illegal, ein neues Auto zu trennen, weil der Notrufdienst eCall in allen Neuwagen aktiviert sein muss.
So geht es immer weiter.
Der Text sagt wiederholt, dass die Verantwortlichen Abschlüsse, Zertifikate und andere zeremonielle Papierstücke brauchen.
Sich zur Risikominderung auf formale Qualifikationen zu konzentrieren, wirkt wie ein sehr europäischer Ansatz. Das heißt nicht, dass er falsch ist, nur dass er anderswo nicht so stark betont wird. Für langsam laufende Branchen mit hohen Sicherheitserwartungen scheint das gut zu passen, aber die Welt von Solar- und Windenergie ist keine langsam laufende Branche.
Aus meiner Erfahrung in diesem Bereich liegt das eigentliche Problem in mangelndem technischem Bewusstsein und mangelnden Fähigkeiten, die bis weit in den „digitalen“ Bereich reichen. Solche Produkte werden meist von Leuten aus dem „Strom“-Bereich entwickelt, die nicht sofort erkennen, dass 512-Bit-RSA ein #badthing ist und nicht ausreicht, um ein von einer Stelle aus steuerbares, aggregiertes Energiesystem zu schützen.
Dafür braucht man nicht unbedingt einen formalen Abschluss oder ein Zertifikat. Praktisches Wissen und Erfahrung aus echter Arbeit daran helfen viel mehr.
Sobald ein Produkt eine Netzwerkschnittstelle hat oder programmierbare Firmware ausführt, sollten Diskussionen über A/B-Boot, Signaturen, Schlüsselwiderruf und Krypto-Agilität aufkommen, die quantenresistente kryptografische Algorithmen ermöglicht. In der Praxis liegt der Fokus jedoch darauf, möglichst kostengünstig eine Mobile App zu entwickeln, die über eine möglichst billige Vendor-Server-Backend-API gesteuert wird, um das Produkt schnell auf den Markt zu bringen.
Fangen wir gar nicht erst mit der Denkweise bei Embedded Systems an, bei der nicht gepatcht und nicht aktuell gehalten wird. Embedded Systems sind ein Bereich, in dem man auch heute noch Linux 2.4 oder 2.6 antreffen kann. Vendoren liefern meist einfach den Code aus, den ihnen der CPU-Chipsatz-Vendor als Board Support Package hingeworfen hat.
Wie gesagt scheinen viele dieser Probleme kommerziell und preisgetrieben zu sein, und es wirkt unwahrscheinlich, dass Papierarbeit sie löst.
Gibt es in der EU keine regulatorischen Anforderungen für Kraftwerke jeglicher Art, insbesondere in Bezug auf Cybersecurity?
Ich lasse weder zu Hause noch bei der Arbeit Systeme in irgendeine Umgebung, die eine Datenverbindung zu Dritten benötigen.
Es gab viel zu viele Fälle, in denen Anbieter oder Cloud-Dienste oder andere Stellen, die eine Verbindung verlangen, aus verschiedensten Gründen gescheitert sind. Zum Beispiel Cisco Spark Board, Xerox ConnectKey, Google Cloud Print, mit WeWork verbundene Geräte, Lattice Engines, MS Groove Music Pass, Shyp, Adobe Business Catalyst, Samsara, Zune, FuelBand, Anki Vector Robot, Google Stadia, Pebble und Ähnliches.
Trotzdem sollte man meiner Meinung nach sehr vorsichtig sein, wenn man speziell Solarenergie reguliert.
Der Installateur hat bei mir einen SolarEdge-Wechselrichter eingebaut, und es war ziemlich mühsam, die Daten in Grafana zu bekommen, ohne ihn mit der Cloud zu verbinden. Als Netzwerkingenieur konnte ich es schaffen, aber es sollte einfacher sein.
Ich stimme zu, dass es Regulierung geben sollte, die Fernverwaltung verbietet und aus der Ferne nur schreibgeschützte Datenabfrage zulässt. Man könnte das Internet-Gateway und den Wechselrichter praktisch airgappen, etwa über eine unidirektionale RS232-Verbindung, bei der der Wechselrichter nur kontinuierlich schreibt. Wenn der Netzbetreiber Solar abschalten muss, sollte er ein Relais installieren, das über seine eigene Infrastruktur gesteuert wird.
Dass Hersteller neue Software, also Firmware, automatisch oder manuell auf Invertern installieren können, ist – wie immer – die Schwachstelle, wenn man Remote-Updates ermöglicht. Wann lernen die Leute das endlich? Updates sollten nur möglich sein, wenn es am Gerät einen physischen Schalter gibt. Kein Software-Schalter, sondern ein physischer Schalter. Steht er auf „Aus“, dürfen keinerlei Updates möglich sein.
Ist der zerstörerischste Angriffsvektor nicht, aus der Ferne Schadcode zu installieren? Mit einem Hardware-Schalter würde solche Malware einen Neustart des Geräts nicht überleben.
Ich erinnere mich noch an die Zeiten, als Festplatten Jumper für die Schreibfreigabe hatten. Nachdem man ein Backup erstellt und den Jumper entfernt hatte, war es unmöglich, das wertvolle Backup versehentlich oder böswillig zu überschreiben.
Kurz gesagt: Die meisten Solarmodule für Verbraucher und Unternehmen werden zentral von einigen wenigen Firmen verwaltet, von denen die meisten außerhalb Europas sitzen. Allein in den Niederlanden liefern diese Solarmodule eine Leistung, die mindestens 25 mittelgroßen Kernkraftwerken entspricht. In Europa gibt es kaum Regeln oder Gesetze für den Umgang mit solchen zentralen Verwaltern. Bei Wärmepumpen, Heimspeichern und EV-Ladegeräten ist es genauso.
Das wirkt sehr ähnlich wie IoT, nur mit deutlich höheren Einsätzen. Mir gefiel, dass der Artikel das Vertrauensproblem zwischen Invertern und Stromnetz gut aufzeigt.
Ich frage mich, ob es außer dem Vertrauen darauf, dass die Kunden-Inverter korrekt funktionieren, eine Möglichkeit gibt, das Stromnetz auf Hardware-Ebene sicher zu machen. Eine naive Frage, aber könnten Geräte des Netzbetreibers Überstrom oder eine falsch abgestimmte Frequenz verhindern?
Gegen Überspannung gibt es jedoch kaum praktikable Mittel. Ein bösartiger Controller, der alle Solaranlagen in einer Straße übernimmt, könnte daher beträchtlichen Schaden an Verbrauchergeräten anrichten.
Aus Sicht des Energieversorgers besteht das Problem darin, dass selbst das Öffnen der Leistungsschalter auf beiden Seiten des Verteiltransformators nicht mehr garantiert, dass an der 240-V-Verteilseite gefahrlos gearbeitet werden kann. Daher müssen alle Arbeiten am 240-V-Verteilungssystem unter der Annahme erfolgen, dass das System unter Spannung steht.
Letztlich werden die Vorschriften, falls nötig, aktualisiert werden, um massenhaft installierte Solaranlagen auf Wohngebäuden zu berücksichtigen.