Der Energie-Thread

Wissenschaftliche Themen werden hier behandelt. Ziel ist die Gründung der OISS.
Benutzeravatar
Brett
Beiträge: 11837
Registriert: Mi Dez 29, 2004 1:00 pm

Beitrag von Brett » Di Aug 09, 2011 9:02 am

masta_stefant hat geschrieben:Findet ein "böser" Hacker ein Loch, verkauft ers sofort an Virenschreiber, die Zuverlässigkeit, Verbreitung und das Schadpotential des Lochs bestimmen den Preis).
Echt, dass da so ein richtiger Markt besteht, hätt ich mir nicht gedacht.
Forma, Eier Gnodn.

Benutzeravatar
Brett
Beiträge: 11837
Registriert: Mi Dez 29, 2004 1:00 pm

Beitrag von Brett » Di Aug 09, 2011 2:40 pm

Pff, der Autor war mir anfangs noch sympathisch, aber mittlerweile frag ich mich, wie er seine Infos eigentlich bezieht bzw. verwertet ... vor allem, was treibt ihn dazu, im Wochenabstand Artikel zu Smart Metering zu schreiben und jedes Mal die Polemik raufzudrehen?
Beides sind zentrale Komponenten des "intelligenten" Stromnetzes in Österreich.
In der Form ist das totaler Unfug. Es gibt keinen bundes- ja nicht einmal landesweiten Smart Meter Roll-Out unter Vorschreibung der zu verwendenden Technologie. Wenn mancher Netzbetreiber unsichere Netze deployed, dann ist es dem anzulasten, aber bittesehr nicht Österreich als Nation.
Im Gegenteil, von Seiten des zuständigen Ministeriums erkenne ich keine Anzeichen überstürzt gesetzter Handlungen. Auch von Seiten der Regulierungsbehörde wurde jetzt gerade einmal eine Verordnung als _Draft_ vorgelegt, die die Mindestanforderungen an Smart Meter Features vorschreibt. Das ist momentan, soweit ich das überblicke, das einzige Anzeichen national wirksamer Bewegungen

Wenn man sich schon auf einzelne Hersteller versteift:
In ihren Grundzügen waren die Sicherheitslöcher bereits seit Mai bekannt und hätten auch schon da auf der Security-Konferenz "TakeDown" im Detail veröffentlicht werden sollen.

Doch im letzten Augenblick hatte der bekannte Sicherheitsexperte - oder "Hardwarehacker", wie man will - Dillon Beresford seinen Vortrag auf Ersuchen des US-Ministeriums für Heimatschutz sowie des betroffenen Herstellers Siemens abgesagt.
In den USA gelten ANSI-Normen. In der EU gilt die MID (Messgeräteverordnung) und es gelten IEC-Normen (in deren Gremien allerdings auch die Hersteller mitwirken). Ich möchte wissen, ob allein aufgrund dessen gleich alles, was in den USA abgeht sofort auf Europa übertragbar ist. Also ob "Loch Übersee" gleichbedeutend mit "Loch bei uns" ist.
Beide Vorfälle betreffen Technologien, die in Österreichs Industrie stark verbreitet sind: Etwa als - bisher getrennte - Steuerungssysteme der Energieversorger für deren Stromnetze sowie deren Verwaltungs- und Kommunikationsnetze. Die kommenden intelligenten Stromzähler in den Haushalten vernetzen diese zumindest indirekt.
Alles schön und gut, aber worin begründen sich genau die Befürchtungen?
Der Autor schreibt selbst, dass es die betroffenen Systeme auch bisher gab. Was er verschweigt, ist, dass Trafoanlagen schon längst kommunizieren können. Warum wurden die nie gehackt? Und warum wurden die Rundsteueranlagen nie gehackt?
Gleichzeitig ist es ein Steuerungssystem, das nicht viel mehr als zwei Befehle entgegennimmt - diese aber lauten: "Ein" und "Aus".
Wenn das so wäre, dann würde kein geistesgegenwärtiges EVU so ein System kaufen ...
Deren Vorgaben, 80 Prozent der Haushalte bis 2020 intelligent zu vernetzen, sollen hierzulande laut Regulator E-Control noch übertroffen werden: Bis 2018 soll eine Abdeckung von mindestens 90 Prozent erreicht werden.
Die Wahrheit ist: Es gibt die gen. EU-Verordnung. Der Regulator hat bei PWC eine Studie in Auftrag gegeben, die zum Ergebnis kam, dass ein höherer Erschließungsgrad wirtschaftlich sinnvoller wäre. Ohne dies zu werten: Nein, ein blankes Studienergebnis hat nicht den Status einer EU-Verordnung und auch nicht den einer Bundesverordnung. Ergo: Ja, Befürchtung berechtigt, aber nicht akut gegeben.
Welches Betriebssystem in welcher Version zum Einsatz kommt, ist nämlich in der Garantie des Herstellers festgeschrieben.
Wenn schon, dann in der des Systemanbieters - das ist nur in manchen Fällen gleich der Hersteller. Meter Data Management und Operating System Services werden idR von Leuten angeboten, die sich nur darauf konzentrieren. Ich persönlich finde das gut so und auch, wenn sie im Zuge dessen nicht jedes x-beliebige, ungeteste System zulassen.

Nachsatz: Ich will diverse Sicherheits-Befürchtungen nicht runterspielen, aber man sollte bitte schon korrekt bleiben ...
In den USA, Japan oder China werden sehr ähnliche Systeme eingesetzt. Das Grundproblem ist aber überall dasselbe: Als Insellösungen konzipierte, langlebige Steuerungssysteme für kritische Infrastruktur werden mit der Unternehmens-IT und damit wenigstens indirekt mit dem weiten, wilden Internet vernetzt.
Hugh!
Forma, Eier Gnodn.

Benutzeravatar
mastastefant
Schnapsbar
Beiträge: 3856
Registriert: Sa Dez 04, 2004 1:00 pm
Kontaktdaten:

Beitrag von mastastefant » Di Aug 09, 2011 4:36 pm

Brett hat geschrieben:mittlerweile frag ich mich, wie er seine Infos eigentlich bezieht bzw. verwertet ... vor allem, was treibt ihn dazu, im Wochenabstand Artikel zu Smart Metering zu schreiben und jedes Mal die Polemik raufzudrehen?

Es gibt keinen bundes- ja nicht einmal landesweiten Smart Meter Roll-Out unter Vorschreibung der zu verwendenden Technologie.
Das ist in der Tat recht lästig, dass bei Medien Quellenangaben extrem selten bis gar nicht vorkommen..

Nunja, Security-Leute sind halt professionelle Paranoiker (ein Prof hat mal erzählt, er kennt einen Security-Experten, der immer seine Trinkflasche wegsperrt, damit ihm keiner was ins Wasser mischt..) :)
Wenn mancher Netzbetreiber unsichere Netze deployed, dann ist es dem anzulasten, aber bittesehr nicht Österreich als Nation.
Die Frage ist natürlich letztlich, wie weit das ganze Smartmetering in der Praxis wirklich ist und wie hoch der Nutzen ist bzw. was die Alternativen sind, und ob man daher prinzipiell diese Technologie zulassen will oder aus Sicherheitsbedenken generell verbietet. Das ist natürlich auch stark davon abhängig, ob man persönlich lieber Sicherheit oder Funktionalität bevorzugt, da gibts keine objektive Antwort. Man kann da letztlich nur Worst-Case-Szenarien erstellen und mit Wahrscheinlichkeiten und Kosten belegen, sowie sich überlegen was das ganze bringt..

Das ist, wenn man mir diesen plumpen Vergleich gestattet, ein bissl so wie bei der Atomkraftwerk-Diskussion: In der Theorie sind die Dinger ganz sicher, und wenn doch was schief geht, ist der Betreiber schuld. In der Praxis gibts jedoch Probleme, und die Auswirkungen im Schadensfall betreffen halt auch die Bevölkerung. Deswegen die Diskussion, ob man die Dinger überhaupt prinzipiell rumstehen haben will, bzw. ob der Nutzen die Gefahren rechtfertigt bzw. obs nicht Alternativen gibt.
Ich persönlich finde das gut so und auch, wenn sie im Zuge dessen nicht jedes x-beliebige, ungeteste System zulassen.

Ich möchte wissen, ob allein aufgrund dessen gleich alles, was in den USA abgeht sofort auf Europa übertragbar ist. Also ob "Loch Übersee" gleichbedeutend mit "Loch bei uns" ist.
Nun, das ist ja eben der Punkt: Diese eklatanten Sicherheitsprobleme, die sind eben nicht bei irgendeiner kleinen unbekannten Software-Schmiede aufgetreten, sondern bei Siemens und SAP.. Und diese Probleme die da gezeigt wurden, das sind ja bei weitem nicht die ersten und einzigen Probleme bei den Herstellern, und auch nicht die einzigen Hersteller mit bekannten Security-Löchern.
Software hat eben Bugs, und Security-Löcher sind eine ganz besonders diffizile Art von Bugs, weil man sie meist nur schwer entdeckt, da muss man schon genau danach suchen. Letztlich ist natürlich jedes System irgendwie angreifbar, die Frage ist nur, welchen Aufwand man betreiben muss..
Was er verschweigt, ist, dass Trafoanlagen schon längst kommunizieren können. Warum wurden die nie gehackt? Und warum wurden die Rundsteueranlagen nie gehackt?
.. das ist so ähnlich wie bei Windows vs. Mac und Linux: Die meisten Viren greifen Windows-Systeme an. Das liegt aber nicht daran, dass Mac und Linux jetzt so viel sicherer sind (im Gegenteil, bei Mac zb. ist die Liste der Security-Fixes auch oft ziemlich beeindruckend..) sondern einfach dass Windows verbreiteter ist und ein Windows-Virus daher ne weit höhere Chance hat auf die richtigen Vorraussetzungen zu treffen.

Irgendeine proprietäre Einzel-Lösung ist daher zwar nicht sicherer programmiert (eher im Gegenteil), aber andererseits auch nicht besonders interessant für Virenschreiber, außer es gibt da was besonderes zu holen (das fällt dann aber eher unter professionelle, gezielte Angriffe bei denen richtig Geld dahinter steht, statt irgendwelchen Script-Kiddie Spaß-Hacks). Weit verbreitete Opensource-Software als ein Extrem wird halt besonders genau unter die Lupe genommen, da gibts entsprechend wenig wirklich ernste Löcher, andererseits wird genau diese Software halt am meisten angegriffen, weil sie die größte Verbreitung hat.. Trotzdem ist das idR besser als selbst-geschusterte Insel-Lösungen, weil wenn ein Angriff mal erfolgt, wirds entsprechend schnell erkannt und gefixt, allerdings muss man aber einfach weit häufiger mit Angriffen rechnen..

Wenn man Siemens und SAP Produkte einsetzt, kann man davon ausgehen, dass in den USA und in EU-Land verkauften Produkten bis auf kleinigkeiten das selbe drin steckt, deswegen kann man Security-Holes die in den USA entdeckt werden durchaus auf EU Systeme übertragen..

Ich weiß nicht genau was da jetzt so im Einsatz ist, für mich klingt das halt so, dass durch Smartmeter die Infrastruktur einerseits mehr vereinheitlicht wird, andererseits "direkter" vernetzt wird. Die Rundsteueranlagen werden normalerweise nur verwendet, den Nachtstrom zu schalten, das ist dann nicht ganz so spannend wie den gesamten Strom remote abzuschalten, und die Steuerung vom "internen" Netz wird wohl kaum über irgendeine Account-Software per Web-Formular am Internet hängen..

Ob das jetzt SAP, Siemens oder anderer Hersteller was selbst-geschustertes ist, ist letztlich relativ egal. Mit Stuxnet gibts halt jetzt einen ganz konkreten Angreifer, der auf gut 60% der bestehenden SCADA Installationen gefunden wurde, den man auch verwenden könnte um anderes als Uran-Zentrifugen anzugreifen, nicht zuletzt deswegen haben die Leute bei Siemens SCADA wohl derzeit eher ein etwas ungutes Gefühl.

Und irgendein internes, selbstgestricktes Netzwerk anzugreifen, ist wesentlich mühsamer und muss viel gezielter gemacht werden, als wenn da Standard-Steuersoftware direkt mit der Webseite vernetzt ist. Deswegen gabs da bis jetzt wohl bei uns keine (mir bekannten) Angriffe, wenn man nen entsprechenden Virus allerdings aus dem Baukasten zamsetzen und direkt per Web ohne allzu großes Insider-Wissen einschleusen kann, könnte sich die Sache ändern..
I find your lack of platform support disturbing.

Benutzeravatar
Brett
Beiträge: 11837
Registriert: Mi Dez 29, 2004 1:00 pm

Beitrag von Brett » Di Aug 09, 2011 5:09 pm

masta_stefant hat geschrieben:Deswegen die Diskussion, ob man die Dinger überhaupt prinzipiell rumstehen haben will, bzw. ob der Nutzen die Gefahren rechtfertigt bzw. obs nicht Alternativen gibt.
Es ist so: Jeder Mitgliedsstaat sagt per default JA. So will es die entsprechende EU-Richtlinie. Die meisten sind auf dem Status verblieben. Ich glaube bisher nur ein einziger (NL) hat wirklich denied (die Richtlinie sagt, wenn eine volkswirtschaftliche Prüfung negativ über den nationalen Rollout befindet, so muss dieser nicht stattfinden. Es gibt also sowas wie eine Ausschlussklausel).

Wichtig: Noch ist es für KEINE Nation zu spät, sich einer solchen Prüfung zu unterziehen.
NUR das, was hier steht, gilt. Annex I, Pkt. 2..

Bisherige Praxisbeispiele im Überblick: http://en.wikipedia.org/wiki/Smart_mete ... n_examples

Wenn Österreich weiterhin auf o. g. Default Status verbleibt, dann ist auch immer noch offen, wie Smart Metering realisiert werden soll. Es gibt einige Negativ-Beispiele nationaler Rollouts, zB.: http://en.wikipedia.org/wiki/Smart_meter#Italy_2.

Dass sich der FM4-Autor immerzu auf Siemens bezieht, liegt daran, dass Siemens bei uns ein Komplettsystem entwickelt und auch die Produktion der Zähler in Österreich sitzt. Natürlich ist Siemens dadurch in diversen Pilotprojekten präsenter als der Mitbewerb und allein damit bietet sich mehr Angriffsfläche.
Tatsächlich verkauft Siemens aber "nicht nur" in Österreich seine Smart Meter ;) .

In den Medien liest man eigentlich immer nur von Security-Themen. Alles andere wird nur oberflächlich behandelt, und wenn dann eher zweckpositivistisch :) . Bzw. oftmals gar nicht.
Forma, Eier Gnodn.

Benutzeravatar
mastastefant
Schnapsbar
Beiträge: 3856
Registriert: Sa Dez 04, 2004 1:00 pm
Kontaktdaten:

Beitrag von mastastefant » Fr Sep 30, 2011 4:34 pm

Texas tut was für die Umwelt und wird in zukunft nur mehr solarbetriebene elektrische Stühle verwenden:
http://derstandard.at/1317018895948/Blo ... logGroup=1
Amerika wäre nicht Amerika und Texas nicht Texas, wenn wir nicht auch in Sachen Todesstrafe allen anderen Nationen ein Vorbild geben würden. Während etwa sämtliche europäischen Pussy-Staaten nicht einmal die Todesstrafe haben, sind wir ihnen diesmal gleich mehrere Schritte voraus und pusten diesen Teufeln mit Solarenergie das Licht aus.
I find your lack of platform support disturbing.

Benutzeravatar
Cannibal
Beiträge: 3612
Registriert: Mi Nov 24, 2004 1:00 pm

Beitrag von Cannibal » Fr Sep 30, 2011 6:28 pm

Spitzen-Artikel, wenn man bedenkt dass die letzte Verwendung des elektrischen Stuhls in Texas vor fast 50 Jahren stattgefunden hat...

http://en.wikipedia.org/wiki/Joseph_Joh ... derer[/url)

Benutzeravatar
mastastefant
Schnapsbar
Beiträge: 3856
Registriert: Sa Dez 04, 2004 1:00 pm
Kontaktdaten:

Beitrag von mastastefant » Fr Sep 30, 2011 7:32 pm

Jo, letztens stand auch in einem Artikel, dass in USA weit mehr Leute die im Todestrakt sitzen an Gründen wie Altersschwäche, Krankheit oder 'Mithäftlingen' sterben als tatsächlich hingerichtet werden (das is irgendwie so einer im Jahr .. ). Die Einsparungsmöglichkeiten sind also in jedem Fall als gering einzustufen ;)
I find your lack of platform support disturbing.

Benutzeravatar
mastastefant
Schnapsbar
Beiträge: 3856
Registriert: Sa Dez 04, 2004 1:00 pm
Kontaktdaten:

Beitrag von mastastefant » Fr Sep 30, 2011 7:45 pm

.. und das dürfte auch nur Texas betreffen, der letzte war 2010 in Virginia, lt. Wikipedia .. vllt planen die Texaner das als Exportartikel ;)
I find your lack of platform support disturbing.

Benutzeravatar
Brett
Beiträge: 11837
Registriert: Mi Dez 29, 2004 1:00 pm

Beitrag von Brett » Fr Sep 30, 2011 9:41 pm

Cannibal hat geschrieben:Spitzen-Artikel, wenn man bedenkt dass die letzte Verwendung des elektrischen Stuhls in Texas vor fast 50 Jahren stattgefunden hat...
http://en.wikipedia.org/wiki/Joseph_Joh ... derer[/url)
Und auch wenn sie jeden Tag 50 verbrutzeln würden, wäre der Stromverbrauch dafür relativ egal ...

Wieviel kann das schon sein je Exekution ... 5 kWh?
Forma, Eier Gnodn.

Benutzeravatar
Brett
Beiträge: 11837
Registriert: Mi Dez 29, 2004 1:00 pm

Beitrag von Brett » Mi Nov 30, 2011 11:09 am

Forma, Eier Gnodn.

Antworten