Rundsteuerempfänger gehackt: Lässt sich über Funksignale ein Blackout herbeiführen?
Ohne die Fernsteuerung von Stromerzeugern und Verbrauchern lässt sich die Energiewende nicht umsetzen. Um das Netz stabil zu halten, müssen Netzbetreiber in der Lage sein, beispielsweise Kraftwerke, Windräder oder Solarparks nach Bedarf abzuregeln oder hinzuzuschalten. Doch nach Darstellung der Sicherheitsforscher Fabian Bräunlein und Luca Melette lassen sich bei funkbasierten Rundsteuerempfängern (FRE) Protokolle manipulieren. Auf dem 38. Chaos Communication Congress (38C3) in Hamburg zeigten sie, wie sich mit solchen Signalen Straßenlaternen oder Solaranlagen ein- und ausschalten lassen.
Die Funkrundsteuertechnik(öffnet im neuen Fenster) wurde in Deutschland in den 1990er Jahren als kostengünstige Alternative zum leitungsgebundenen Rundsteuersystem aufgebaut. Betreiber der Langwellenfunkanlagen ist die Europäische Funk-Rundsteuerung GmbH (EFR) mit Hauptsitz in München. Nach eigenen Angaben betreibt die EFR Sendeanlagen bei Frankfurt am Main, Magdeburg und Budapest und steuert mehr als 1,3 Millionen Funkempfänger. 350 Unternehmen der Energiewirtschaft gehören zu den Kunden. Die EFR wollte nach Angaben des Nachrichtenmagazins Spiegel(öffnet im neuen Fenster) (Paywall) den geplanten Vortrag auf dem 38C3 verhindern.
Straßenlampen ein- und ausgeschaltet
Ausgangspunkt der Überlegungen der Sicherheitsforscher Bräunlein und Melette war die Frage, ob sich vergleichbar zum Projekt Blinkenlights(öffnet im neuen Fenster) die Beleuchtung ganzer Städte nach bestimmten Mustern ein- und ausschalten lässt. Blinkencity sozusagen. Dazu decodierten die beiden Forscher zunächst per Reverse Engineering die verwendeten Protokolle Versacom und Semagyr. Mit einem manipulierten Zeitsignal ließen sich zeitbasierte Funktionen auslösen und beispielsweise Straßenlaternen am helllichten Tag einschalten. Als Sender ließ sich auf kurze Distanz sogar das Hackertool Flipper Zero nutzen.
Über die unverschlüsselten, nicht authentifizierten und unidirektionalen Signale lassen sich jedoch nicht nur einzelne Empfänger per individueller ID adressieren. Darüber hinaus lassen sich über die Signale, Telegramme genannt, Empfängergruppen gemeinsam ansteuern.
Viele Erzeuger und Verbraucher mit FRE gesteuert
Im Zusammenhang mit der Analyse ist eine Debatte darüber entbrannt, ob über eine großflächige Manipulation der Signale das Stromnetz destabilisieren lässt. Das hängt unter anderem davon ab, ob überhaupt große Erzeugungsanlagen oder Verbraucher über FRE gesteuert werden. Zudem stellt sich die Frage, ob es einem Angreifer möglich ist, die normalen Funksignale der EFR mit eigenen Sendern zu überstrahlen.
Laut Bräunlein und Melette werden in Deutschland 40 Gigawatt (GW) Peak-Leistung und 20 GW Last über die Funksignale gesteuert. Die erzeugte Leistung verteilt sich den Schätzungen zufolge zu gleichen Teilen auf Solaranlagen und Windräder. Zu den Verbrauchern gehören vor allem Nachtspeicheröfen, gefolgt von Wärmepumpen und Wallboxen. Zum Vergleich: Die bereitgestellte Erzeugungsleistung liegt bei durchschnittlich 70 GW, während die verfügbare Leistung 250 GW beträgt.
Rein theoretisch dürfte es daher durchaus möglich sein, das Stromnetz an die Grenzen der Belastbarkeit zu bringen.
Experten halten Angriff für denkbar
Beispielsweise, wenn im Sommer sämtliche per Funk gesteuerten und einspeisenden Solaranlagen per Knopfdruck vom Netz getrennt würden. Auf Anfrage des Spiegels teilte das Bundesamt für Sicherheit der Informationstechnik (BSI) mit: Das Szenario sei "grundsätzlich bekannt" , allerdings seien "die Voraussetzungen für einen Angriff aus Sicht des BSI sehr hoch" .
Albert Moser vom Lehrstuhl für Übertragungsnetze und Energiewirtschaft an der RWTH Aachen hält einen solchen Angriff laut Spiegel für denkbar. Bei einem konzertierten Angriff könnte die Netzfrequenz unter bestimmte Werte sinken, so dass Verbraucher abgeschaltet werden müssten. Das könnte zu einem ersten europaweiten Stromausfall in der Geschichte führen.
EFR wollte Vortrag verhindern
Der Betreiber EFR äußerte sich nach einem ersten Kontakt durch Bräunlein und Melette konstruktiv und schrieb: "Durch Eure Recherche ist uns bewusst geworden, dass die Funkrundsteuerung auch zur Steuerung von Anlagen mit sehr hohen Einspeiseleistungen zum Einsatz kommt." Den Kunden sei daher verdeutlicht worden, dass die Technik nicht für die Steuerung großer Anlagen geeignet sei.
Im weiteren Verlauf der Kommunikation verhielt sich EFR jedoch zunehmend gereizt. So wurden die Forscher davor gewarnt, ihre Erkenntnisse auf dem 38C3 zu präsentieren. Zudem wies das Unternehmen ein beschriebenes Angriffsszenario, bei dem die erforderlichen Antennen durch hochfliegende Drachen umgesetzt würden, als "falsch" zurück. Das Langwellensystem verfüge über eine hohe physikalische Sicherheit. Das mögliche Schadensbild durch kriminelle Eingriffe sei "stark begrenzt, der notwendige Einsatz von Material, Technik und Energie, der für eine lokale Störung in einem geringen Umkreis notwendig wäre, ist dagegen immens" .
Vernetzte Stromzähler als sichere Alternative
Ohnehin sollen die Rundsteuerempfänger langfristig durch vernetzte Stromzähler ersetzt werden, die über hohe Sicherheitsanforderungen verfügen. In diesem Zusammenhang forderten Bräunlein und Melette, die zeitlichen Vorgaben beim Rollout zu ändern und zunächst Anlagen mit hohen Leistungen über ein Smart Meter Gateway anzuschließen. "Bitte überprüfen Sie Ihren Zeitplan, fangen Sie zuerst mit den Großen an, und dann haben Sie 80 Prozent der Arbeit erledigt, dann können Sie den Rest in so vielen Jahren machen, wie Sie wollen" , forderte Melette.