Kaspersky-Forscher über angreifbare PV-Anlagen
Verdunkelungsgefahr
Auch Photovoltaik-Anlagen, private ebenso wie kommerzielle, sind heute mit dem Internet verbunden – und dadurch mitunter angreifbarer, als es die Herstellerseite gerne zugeben möchte. Dies bewies der Security-Experte Stephan Gerling im Feldversuch – und erlangte die Kontrolle über rund 2,8 GW PV-Einspeiseleistung. LANline sprach mit dem White-Hat-Hacker über die Kompromittierbarkeit von Photovoltaikanlagen – und über die Frage, ob sich damit einer der letzthin viel diskutierten Blackouts erzeugen ließe.
Über Stephan Gerling hat LANline schon einmal berichtet: In einem Vortrag auf der Cirosec IT-Defense 2018 hatte er demonstriert, wie man millionenschwere Yachten digital kapert. Nun hat sich Gerling, inzwischen Senior Security Researcher am ICS CERT bei Kaspersky, ein neues Ziel für seine Hacking-Künste gesucht: die Versorgung mit erneuerbarer Energie.
LANline: Herr Gerling, Sie haben kürzlich auf mehreren Security-Konferenzen unter dem Titel „Into the Dark: Switching off Renewable Power from Everywhere“ einen Vortrag zur Angreifbarkeit von Photovoltaikanlagen gehalten. Wie sind Sie darauf gestoßen, dass PV-Anlagen kompromittierbar sind?
Stephan Gerling: Ich war, wie man das eben so macht, mittels Shodan auf der Suche nach Material für einen Vortrag über Solartechnik. Dort bin ich auf eine Anlage bei uns aus der Gegend gestoßen, die eine komplette Exposure (Offenlegung, d.Red.) der persönlichen Daten ergab. Über die Solaranlage bekam man die E-Mail-Adresse heraus, in der Folge Adresse, Telefonnummer, Facebook-Profil, Linkedin-Profil – da die Anlage online war, konnte ich praktisch das komplette Leben des Besitzers ermitteln. Die weitere Recherche ergab: Der Hersteller bietet nicht nur Consumer-Anlagen bis 30 kW Peak, sondern auch kommerzielle Anlagen in der Leistungsklasse von 1 bis 5 MW – und diese nutzen das gleiche Web-Interface.
LANline: In welchem Ausmaß sind dadurch Manipulationen aus der Ferne möglich?
Stephan Gerling: Bei den Heimmodellen kann man nicht viel ändern, aber bei den großen Modellen hat man, wenn man sich als entsprechender Benutzer einloggt, Zugriff auf die Einspeiseleistung. Ein Angreifer kann die Anlage also auch auf null herunterfahren. Es gibt dafür zunächst eine Art Stop-Button, dieser lässt sich aber auch schnell wieder zurückschalten. Bei genauerer Lektüre des Handbuchs finden sich aber auch Konfigurationsparameter, mit denen man diverse Einstellungen vornehmen kann, sodass Manipulationen nicht mehr so einfach erkennbar sind und sich auch nicht mehr so einfach zurücksetzen lassen. Der Betreiber müsste dann jede Anlage manuell wieder neu konfigurieren und auf den Ursprungswert zurücksetzen.
Hart codierte Zugangsdaten
LANline: Wie haben Sie den Zugriff erlangt?
Stephan Gerling: Das Hauptproblem der Anlagen waren wieder einmal Hard-coded Credentials – eine „never-ending story“. Darauf aufmerksam wurde ich, weil das Web-Interface der Anlagen kein Eingabefeld für den User-Namen anbietet, sondern nur eines für das Passwort. Abhängig vom Passwort hat man unterschiedliche Benutzerrechte: Es gibt ein Passwort für User, eines für den Service und eines für Developer. Das Developer-Passwort bietet den vollen Zugriff auf das System. Und die Passwörter sind eben auf allen Geräten gleich.
LANline: Wie viele PV-Anlagen sind von dieser Sicherheitslücke betroffen?
Stephan Gerling: Per Shodan-Suche ergaben sich 1,3 Millionen Geräte, aber darunter befinden sich sehr viele Honeypots. Filtert man diese Honeypots und – anhand der Unterschiede in der Firmware – die Kleinanlagen heraus, dann verbleiben zirka 2.500 Geräte in Europa in der Leistungsklasse von 1 bis 5 MW. Das ergibt Pi mal Daumen eine Gesamtleistung von ungefähr 2,8 GW.
LANline: Das heißt also, es geht hier nicht nur um ein paar vereinzelte Anlagen eines obskuren Herstellers, sondern um einen nennenswerten Baustein des europäischen Energienetzes?
Stephan Gerling: Genau. 2,8 GW entspricht der Leistung von zwei Atomkraftwerken – die man aus der Ferne an- und abschalten kann.
LANline: Wie sind Sie ursprünglich darauf gekommen, sich mit der Angreifbarkeit kritischer Infrastruktur zu befassen?
Stephan Gerling: Ich habe früher Elektroinstallateur gelernt, und zwar bei einem Dorfelektriker der alten Schule. Mit allem, was einen Stecker hatte, haben wir uns befasst, vom Thermostat der Kaffeemaschine bis zur Straßenbeleuchtung, deren Leuchten per Zeitschaltuhr oder mittels Rundsteuertechnik an- und ausgeschaltet wurden. Es gibt auch heute noch Städte und Landkreise, die ihre Beleuchtung über 129,1-kHz-Rundsteuertechnik betreiben.
LANline: Und was war der aktuelle Anlass für den Vortrag?
Stephan Gerling: Ich habe letztes Jahr ein Projekt durchgeführt, bei dem es um ein Forschungs-Microgrid mit Ladesäulen und Batteriespeichersystemen ging. Hier konnte ich mich insbesondere mit Sicherheitslücken in den Ladesäulen befassen. Eine Fragestellung war zum Beispiel: Lässt sich das Batterie-Management einer Ladesäule so manipulieren, dass die Batterie explodiert, wenn ein Fahrzeug angeschlossen ist? Ergebnisse dazu kann ich noch nicht präsentieren. Aber im Kontext dieses Forschungsnetzes, das überschüssige Energie ins Stromnetz einspeist, bin ich wieder auf Zähler mit den vertrauten 129,1-kHz-Signalen aus der Rundsteuertechnik gestoßen.
LANline: Welche Rolle spielt diese Rundsteuertechnik für die Energieversorger?
Stephan Gerling: Mittels Rundsteuertechnik hat der Energieversorger eine Fernsteuermöglichkeit, um die Einspeiseleistung von 100 Prozent auf 60, 30 oder null Prozent zu reduzieren. Das ist erforderlich in Zeiten, in denen zu viel Wind- oder Sonnenenergie ins Netz eingespeist wird. Aber auch der „Lastabwurf“, also das selektive Abschalten von Großverbrauchern bei Energieknappheit, wird unter anderem darüber geregelt.
- Verdunkelungsgefahr
- Unverschlüsselte Steuersignale
Lesen Sie mehr zum Thema
