Dann bestünde zumindest theoretisch die Möglichkeit, den Stromverbrauch sekündlich abzulesen und an eine externe Stelle zu übertragen. Rein technisch sind die Geräte dazu in der Lage. Doch gesetzlich ist das nicht erlaubt. Bislang sieht der Entwurf vor, dass die Smart Meter Gateways nur alle 15 Minuten den Verbrauchswert erfassen sollen. Das reicht für eine Analyse des Fernsehprogramms sicherlich nicht aus. "Das deutsche Modell ist das strikteste weltweit", sagt Zehnder.
Genau geregelt ist das in der Technischen Richtlinie TR-03109-1 des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Diese trägt den sperrigen Titel "Anforderungen an die Interoperabilität der Kommunikationseinheit eines intelligenten Messsystems" und enthält sogenannte Tarif-Anwendungfälle (TAF). TAF1 beschreibt dabei Tarife, "bei denen ein hohes Interesse an Datensparsamkeit besteht". Diese Datensparsamkeit soll verhindern, "dass auf Basis der vom SMGW versandten Messwerte, Auswertungen über das Verbrauchsverhalten des Letztverbrauchers getätigt werden können". Der Abrechnungszeitraum soll dabei nicht kürzer als ein Monat sein.
Gateways sind schwer zu hacken
Das gilt allerdings nicht für zeit-, last- und verbrauchsabhängige Tarife. Dann ist eine häufigere Ablesung erforderlich. Allerdings nicht so genau, dass eine Analyse des Fernsehprogramms möglich ist. Bleibt also noch die letzte Möglichkeit: der Hack eines Smart Meter Gateways.
Dass ein solcher nie auszuschließen ist, räumte auch Thomas Zehnder ein: "Wenn Sie erfolgreich Geldautomaten hacken können, können Sie das auch bei Smart Metern." Das BSI hat die Sicherheitsanforderungen aber möglichst hoch gesetzt, um beispielsweise Man-in-the-Middle-Angriffe zu verhindern. So müssen die Gateways stets verschlüsselt über verschiedene Schnittstellen mit angeschlossenen Zählern, dem Kunden, dem Administrator und sogenannten externen Marktteilnehmern (EMT) wie Netzbetreibern kommunizieren. Eine weitere Richtlinie (TR-03116-3) schreibt dazu das TLS-Protokoll zwingend vor. Zudem darf das Gateway keine TLS-Verbindungen akzeptieren, die von Teilnehmern aus dem externen Netz initiiert werden. Lediglich der Administrator kann über einen Wake-up-Dienst eine Verbindung zum Messsystem aufbauen.
Chronik: Die größten Datendiebstähle
Der japanische Unterhaltungskonzern Sony meldet das illegale Ausspähen mehrerer Server. Betroffen sind 77 Millionen Nutzer, die sich auf der Plattform der Spielkonsole „Playstation“ registriert hatten.
Hacker erschleichen sich den Zugang zu Rechnern des Online-Bekleidungsshops Zappos und stehlen 24 Millionen Kundendaten. Zappos ist eine 100-prozentige Tochter des Web-Warenhauses Amazon.
Vodafone zeigt den Diebstahl von zwei Millionen Kundendaten in Deutschland an. Ein Hacker stahl von Rechnern des Mobilfunkkonzerns Namen, Adressen und Kontodaten.
Hacker dringen in Datenbanken des US-Softwareherstellers Adobe ein und stehlen Listen mit 152 Millionen Nutzerdaten. Sie konnten dabei auch die verschlüsselt gespeicherten Passwörter knacken.
In Datenbanken der US-Warenhauskette Target dringen Hacker ein und stehlen 110 Millionen Kundendaten, darunter knapp 40 Millionen Kredit- und EC-Kartendaten.
Die Datenbank des Online-Auktionshauses Ebay wird angezapft. Die Hacker, die über gestohlene Mitarbeiterzugänge eindrangen, kommen in den Besitz von 145 Millionen Daten inklusive Passwörter und weiteren persönlichen Daten.
Bei der US-Baumarktkette Home Depot knacken Hacker die Sicherheitsvorkehrungen von Zahlungssystemen. Die Kreditkartendaten von 56 Millionen Kunden werden ausspioniert.
Die US-Bank JP Morgan wird Opfer eines groß angelegten Cyberangriffs. Daten von 76 Millionen Privatkunden und sieben Millionen Firmenkunden fallen in die Hände von Hackern. Ausgespäht wurden Name, Adresse, Telefonnummer und E-Mail-Adresse.
Um eine manipulierte Firmware aufzuspielen, müsste den Anforderungen zufolge der Administrator-Zugang gehackt werden. Nur auf diesem Wege wäre es möglich, eine sekundengenaue Ablesung einzurichten und die Daten an einen neuen Empfänger zu schicken. Für Thomas Zehnder ein sehr unwahrscheinliches Szenario. "Dabei stellt sich die Frage der Verhältnismäßigkeit. Was kriegen Sie raus für welchen Aufwand?", fragt er.
In der Tat lässt sich nur schwer ein kriminelles Geschäftsmodell vorstellen, mit dem sich das Anschauen von Rosamunde-Pilcher-Filmen oder "Peter Hahne" ausnutzen lässt. Zumal dazu eine umfassende Datenbank mit analysierten Filmsequenzen vorliegen müsste. Die Vorstellung, dass die Filmindustrie flächendeckend die Zähler hackt, um das Anschauen von noch nicht veröffentlichten DVDs zu ermitteln, dürfte ins Reich der Legende verwiesen werden.