Verdunkelungsgefahr
Kaspersky-Forscher über angreifbare PV-Anlagen
Auch Photovoltaik-Anlagen, private ebenso wie kommerzielle, sind heute mit dem Internet verbunden – und dadurch mitunter angreifbarer, als es die Herstellerseite gerne zugeben möchte. Dies bewies der Security-Experte Stephan Gerling im Feldversuch.
Er erlangte die Kontrolle über rund 2,8 GW PV-Einspeiseleistung.
Über Stephan Gerling hat LANline, die Schwesterzeitschrift der Smarthouse Pro, schon einmal berichtet: In einem Vortrag auf der Cirosec IT-Defense 2018 hatte er demonstriert, wie man millionenschwere Yachten digital kapert. Nun hat sich Gerling, inzwischen Senior Security Researcher am ICS CERT bei Kaspersky, ein neues Ziel für seine Hacking-Künste gesucht: die Versorgung mit erneuerbarer Energie.
LANline: Herr Gerling, Sie haben kürzlich auf mehreren Security-Konferenzen unter dem Titel „Into the Dark: Switching off Renewable Power from Everywhere“ einen Vortrag zur Angreifbarkeit von Photovoltaikanlagen gehalten. Wie sind Sie darauf gestoßen, dass PV-Anlagen kompromittierbar sind?
Stephan Gerling: Ich war, wie man das eben so macht, mittels Shodan auf der Suche nach Material für einen Vortrag über Solartechnik. Dort bin ich auf eine Anlage bei uns aus der Gegend gestoßen, die eine komplette Exposure (Offenlegung, d.Red.) der persönlichen Daten ergab. Über die Solaranlage bekam man die E-Mail-Adresse heraus, in der Folge Adresse, Telefonnummer, Facebook-Profil, Linkedin-Profil – da die Anlage online war, konnte ich praktisch das komplette Leben des Besitzers ermitteln. Die weitere Recherche ergab: Der Hersteller bietet nicht nur Consumer-Anlagen bis 30 kW Peak, sondern auch kommerzielle Anlagen in der Leistungsklasse von 1 bis 5 MW – und diese nutzen das gleiche Web-Interface.
LANline: In welchem Ausmaß sind dadurch Manipulationen aus der Ferne möglich?
Stephan Gerling: Bei den Heimmodellen kann man nicht viel ändern, aber bei den großen Modellen hat man, wenn man sich als entsprechender Benutzer einloggt, Zugriff auf die Einspeiseleistung. Ein Angreifer kann die Anlage also auch auf null herunterfahren. Es gibt dafür zunächst eine Art Stop-Button, dieser lässt sich aber auch schnell wieder zurückschalten. Bei genauerer Lektüre des Handbuchs finden sich aber auch Konfigurationsparameter, mit denen man diverse Einstellungen vornehmen kann, sodass Manipulationen nicht mehr so einfach erkennbar sind und sich auch nicht mehr so einfach zurücksetzen lassen. Der Betreiber müsste dann jede Anlage manuell wieder neu konfigurieren und auf den Ursprungswert zurücksetzen.
Hart codierte Zugangsdaten
LANline: Wie haben Sie den Zugriff erlangt?
Stephan Gerling: Das Hauptproblem der Anlagen waren wieder einmal Hard-coded Credentials – eine „never-ending story“. Darauf aufmerksam wurde ich, weil das Web-Interface der Anlagen kein Eingabefeld für den User-Namen anbietet, sondern nur eines für das Passwort. Abhängig vom Passwort hat man unterschiedliche Benutzerrechte: Es gibt ein Passwort für User, eines für den Service und eines für Developer. Das Developer-Passwort bietet den vollen Zugriff auf das System. Und die Passwörter sind eben auf allen Geräten gleich.
LANline: Wie viele PV-Anlagen sind von dieser Sicherheitslücke betroffen?
Stephan Gerling: Per Shodan-Suche ergaben sich 1,3 Millionen Geräte, aber darunter befinden sich sehr viele Honeypots. Filtert man diese Honeypots und – anhand der Unterschiede in der Firmware – die Kleinanlagen heraus, dann verbleiben zirka 2.500 Geräte in Europa in der Leistungsklasse von 1 bis 5 MW. Das ergibt Pi mal Daumen eine Gesamtleistung von ungefähr 2,8 GW.
LANline: Das heißt also, es geht hier nicht nur um ein paar vereinzelte Anlagen eines obskuren Herstellers, sondern um einen nennenswerten Baustein des europäischen Energienetzes?
Stephan Gerling: Genau. 2,8 GW entspricht der Leistung von zwei Atomkraftwerken – die man aus der Ferne an- und abschalten kann.
LANline: Wie sind Sie ursprünglich darauf gekommen, sich mit der Angreifbarkeit kritischer Infrastruktur zu befassen?
Stephan Gerling: Ich habe früher Elektroinstallateur gelernt, und zwar bei einem Dorfelektriker der alten Schule. Mit allem, was einen Stecker hatte, haben wir uns befasst, vom Thermostat der Kaffeemaschine bis zur Straßenbeleuchtung, deren Leuchten per Zeitschaltuhr oder mittels Rundsteuertechnik an- und ausgeschaltet wurden. Es gibt auch heute noch Städte und Landkreise, die ihre Beleuchtung über 129,1-GHz-Rundsteuertechnik betreiben.
LANline: Und was war der aktuelle Anlass für den Vortrag?
Stephan Gerling: Ich habe letztes Jahr ein Projekt durchgeführt, bei dem es um ein Forschungs-Microgrid mit Ladesäulen und Batteriespeichersystemen ging. Hier konnte ich mich insbesondere mit Sicherheitslücken in den Ladesäulen befassen. Eine Fragestellung war zum Beispiel: Lässt sich das Batterie-Management einer Ladesäule so manipulieren, dass die Batterie explodiert, wenn ein Fahrzeug angeschlossen ist? Ergebnisse dazu kann ich noch nicht präsentieren. Aber im Kontext dieses Forschungsnetzes, das überschüssige Energie ins Stromnetz einspeist, bin ich wieder auf Zähler mit den vertrauten 129,1-GHz-Signalen aus der Rundsteuertechnik gestoßen.
LANline: Welche Rolle spielt diese Rundsteuertechnik für die Energieversorger?
Stephan Gerling: Mittels Rundsteuertechnik hat der Energieversorger eine Fernsteuermöglichkeit, um die Einspeiseleistung von 100 Prozent auf 60, 30 oder null Prozent zu reduzieren. Das ist erforderlich in Zeiten, in denen zu viel Wind- oder Sonnenenergie ins Netz eingespeist wird.
Unverschlüsselte Steuersignale
LANline: Und welche Sicherheitslücken entstehen dadurch?
Stephan Gerling: Das reine Funksignal wird bei der Rundsteuertechnik unverschlüsselt übertragen. Wer einen entsprechend leistungsstarken Empfänger baut, kann das also abhören, dafür gibt es Open-Source-Projekte. Und wer über einen passenden Sender verfügt, könnte zwar nicht deutschlandweit, aber doch auf Stadtebene in die Kommunikation eingreifen. Es ist dazu noch nicht einmal ein „Man in the Middle“-Angriff nötig: Ein Angreifer muss lediglich die Station ID des Empfängers kennen und das entsprechende Signal senden. Das Gleiche funktioniert auch auf Powerline-Communications-Ebene. Hier ist das einzige Problem: Die Einspeisung erfolgt auf der Umspannebene, also im 10kV-Bereich. Wer in der eigenen Straße noch PLC-basierte Straßenlaternen vorfindet, kann das Signal abgreifen und es auf gleichem Weg selbst generieren – das ist wirklich einfachste Elektrotechnik.
LANline: Wie lässt sich auf dieser Basis ein Angriff durchführen?
Stephan Gerling: Ich habe ein bisschen weiterrecherchiert, Protokolle gelesen und außerdem von einem Freund Informationen über die Tetra-Rundsteuertechnik erhalten, die bei manchen Landkreisen zum Einsatz kommt. Tetra arbeitet digital und sollte verschlüsselt sein, die Signale werden aber trotzdem teils unverschlüsselt übertragen. Man braucht also nur ein Software-Defined-Radio-Tool und Open-Source-Software für Tetra, und schon kann man anhören, was da über den Äther geht: Welche IDs werden gesendet, welche Steuersignale werden geschickt? Damit kann man dann ein Angriffsszenario aufbauen. Das alles habe ich für den Vortrag zu einer Gesamtstory zusammengeführt.
Die Frage des Blackout-Risikos
LANline: Könnte ein Angreifer auf diesem Weg einen Blackout verursachen?
Stephan Gerling: Die knapp 3 GW Solarenergie, die ich ausschalten könnte, reichen nicht für einen Blackout, denn damit bin ich nur im Primärregelkreis – für einen Blackout müsste ich in den Sekundär- oder Tertiärregelkreis gelangen.
LANline: Was ist der aktuelle Status der Hard-coded-Credentials-Sicherheitslücke?
Stephan Gerling: Ich habe dem Hersteller die Lücke gemeldet, seit Januar ist sie gepatcht. Es finden sich mit Shodan immer weniger angreifbare Anlagen. Aktuell (das Interview fand im September 2022 statt, d.Red.) sind noch Kapazitäten von 2 GW mit dieser Sicherheitslücke am Netz.
LANline: Wie aufwendig muss man sich das Patchen kommerzieller PV-Anlagen vorstellen?
Stephan Gerling: Im Grunde ist das ein Firmware-Update wie etwa bei einer FritzBox. Es gibt lediglich den organisatorischen Vorlauf, um die Energieversorger über die Umstellung auf Benutzername und Passwort zu informieren. Zugleich stellt sich die Frage, warum die Anlagen überhaupt online sein müssen. Um Monitoring-Daten zu sammeln und Statistiken auszuwerten, könnte man auch ein sauber konfiguriertes VPN verwenden. Das macht eben ein bisschen mehr Arbeit.
LANline: Haben Sie Einblicke, ob die übrigen PV-Anlagenhersteller die Fernzugriffssicherheit besser handhaben?
Stephan Gerling: Mein Bauchgefühl sagt: Das sieht bei sehr vielen anderen Herstellern ähnlich aus.
Kritis-Schwelle liegt zu hoch
LANline: Welche Forderungen hätten Sie in diesem Zusammenhang an den Gesetzgeber? Schließlich geht es hier um den Schutz von kritischer Infrastruktur.
Stephan Gerling: Das ist ein schwieriges Thema, denn viele Versorger, beispielsweise Windparkbetreiber, bleiben unterhalb der Kritis-Schwelle von 500.000 versorgten Personen. Da greifen also die gesetzlichen Vorgaben für Kritis nicht. Für den Sektor Energie sollte man also die Kritis-Schwelle senken, auf 50.000 oder gar 10.000 versorgte Einwohner. Gleiches gilt übrigens auch für Wasser etc.
LANline: Was kann der einzelne Konsument tun, der eine solche PV-Anlage mit hart codierten Zugangsdaten auf seinem Dach installiert hat?
Stephan Gerling: Die Consumer-Geräte dieses Herstellers sind bereits abgekündigt. Damit handelt es sich hier um eine Lücke, die wahrscheinlich bestehen bleibt. Bei der Auswahl einer Anlage sollten Verbraucher jedenfalls immer auch auf die Sicherheitsaspekte achten.
LANline: Herr Gerling, vielen Dank für das interessante Gespräch.
Zuerst erschienen auf lanline.de.
