Brett hat geschrieben:mittlerweile frag ich mich, wie er seine Infos eigentlich bezieht bzw. verwertet ... vor allem, was treibt ihn dazu, im Wochenabstand Artikel zu Smart Metering zu schreiben und jedes Mal die Polemik raufzudrehen?
Es gibt keinen bundes- ja nicht einmal landesweiten Smart Meter Roll-Out unter Vorschreibung der zu verwendenden Technologie.
Das ist in der Tat recht lästig, dass bei Medien Quellenangaben extrem selten bis gar nicht vorkommen..
Nunja, Security-Leute sind halt professionelle Paranoiker (ein Prof hat mal erzählt, er kennt einen Security-Experten, der immer seine Trinkflasche wegsperrt, damit ihm keiner was ins Wasser mischt..)
Wenn mancher Netzbetreiber unsichere Netze deployed, dann ist es dem anzulasten, aber bittesehr nicht Österreich als Nation.
Die Frage ist natürlich letztlich, wie weit das ganze Smartmetering
in der Praxis wirklich ist und wie hoch der Nutzen ist bzw. was die Alternativen sind, und ob man daher prinzipiell diese Technologie zulassen will oder aus Sicherheitsbedenken generell verbietet. Das ist natürlich auch stark davon abhängig, ob man persönlich lieber Sicherheit oder Funktionalität bevorzugt, da gibts keine objektive Antwort. Man kann da letztlich nur Worst-Case-Szenarien erstellen und mit Wahrscheinlichkeiten und Kosten belegen, sowie sich überlegen was das ganze bringt..
Das ist, wenn man mir diesen plumpen Vergleich gestattet, ein bissl so wie bei der Atomkraftwerk-Diskussion: In der Theorie sind die Dinger ganz sicher, und wenn doch was schief geht, ist der Betreiber schuld. In der Praxis gibts jedoch Probleme, und die Auswirkungen im Schadensfall betreffen halt auch die Bevölkerung. Deswegen die Diskussion, ob man die Dinger überhaupt prinzipiell rumstehen haben will, bzw. ob der Nutzen die Gefahren rechtfertigt bzw. obs nicht Alternativen gibt.
Ich persönlich finde das gut so und auch, wenn sie im Zuge dessen nicht jedes x-beliebige, ungeteste System zulassen.
Ich möchte wissen, ob allein aufgrund dessen gleich alles, was in den USA abgeht sofort auf Europa übertragbar ist. Also ob "Loch Übersee" gleichbedeutend mit "Loch bei uns" ist.
Nun, das ist ja eben der Punkt: Diese eklatanten Sicherheitsprobleme, die sind eben nicht bei irgendeiner kleinen unbekannten Software-Schmiede aufgetreten, sondern bei Siemens und SAP.. Und diese Probleme die da gezeigt wurden, das sind ja bei weitem nicht die ersten und einzigen Probleme bei den Herstellern, und auch nicht die einzigen Hersteller mit bekannten Security-Löchern.
Software hat eben Bugs, und Security-Löcher sind eine ganz besonders diffizile Art von Bugs, weil man sie meist nur schwer entdeckt, da muss man schon genau danach suchen. Letztlich ist natürlich jedes System irgendwie angreifbar, die Frage ist nur, welchen Aufwand man betreiben muss..
Was er verschweigt, ist, dass Trafoanlagen schon längst kommunizieren können. Warum wurden die nie gehackt? Und warum wurden die Rundsteueranlagen nie gehackt?
.. das ist so ähnlich wie bei Windows vs. Mac und Linux: Die meisten Viren greifen Windows-Systeme an. Das liegt aber nicht daran, dass Mac und Linux jetzt so viel sicherer sind (im Gegenteil, bei Mac zb. ist die Liste der Security-Fixes auch oft ziemlich beeindruckend..) sondern einfach dass Windows verbreiteter ist und ein Windows-Virus daher ne weit höhere Chance hat auf die richtigen Vorraussetzungen zu treffen.
Irgendeine proprietäre Einzel-Lösung ist daher zwar nicht sicherer programmiert (eher im Gegenteil), aber andererseits auch nicht besonders interessant für Virenschreiber, außer es gibt da was besonderes zu holen (das fällt dann aber eher unter professionelle, gezielte Angriffe bei denen richtig Geld dahinter steht, statt irgendwelchen Script-Kiddie Spaß-Hacks). Weit verbreitete Opensource-Software als ein Extrem wird halt besonders genau unter die Lupe genommen, da gibts entsprechend wenig wirklich ernste Löcher, andererseits wird genau diese Software halt am meisten angegriffen, weil sie die größte Verbreitung hat.. Trotzdem ist das idR besser als selbst-geschusterte Insel-Lösungen, weil wenn ein Angriff mal erfolgt, wirds entsprechend schnell erkannt und gefixt, allerdings muss man aber einfach weit häufiger mit Angriffen rechnen..
Wenn man Siemens und SAP Produkte einsetzt, kann man davon ausgehen, dass in den USA und in EU-Land verkauften Produkten bis auf kleinigkeiten das selbe drin steckt, deswegen kann man Security-Holes die in den USA entdeckt werden durchaus auf EU Systeme übertragen..
Ich weiß nicht genau was da jetzt so im Einsatz ist, für mich klingt das halt so, dass durch Smartmeter die Infrastruktur einerseits mehr vereinheitlicht wird, andererseits "direkter" vernetzt wird. Die Rundsteueranlagen werden normalerweise nur verwendet, den Nachtstrom zu schalten, das ist dann nicht ganz so spannend wie den gesamten Strom remote abzuschalten, und die Steuerung vom "internen" Netz wird wohl kaum über irgendeine Account-Software per Web-Formular am Internet hängen..
Ob das jetzt SAP, Siemens oder anderer Hersteller was selbst-geschustertes ist, ist letztlich relativ egal. Mit Stuxnet gibts halt jetzt einen ganz konkreten Angreifer, der auf gut 60% der bestehenden SCADA Installationen gefunden wurde, den man auch verwenden könnte um anderes als Uran-Zentrifugen anzugreifen, nicht zuletzt deswegen haben die Leute bei Siemens SCADA wohl derzeit eher ein etwas ungutes Gefühl.
Und irgendein internes, selbstgestricktes Netzwerk anzugreifen, ist wesentlich mühsamer und muss viel gezielter gemacht werden, als wenn da Standard-Steuersoftware direkt mit der Webseite vernetzt ist. Deswegen gabs da bis jetzt wohl bei uns keine (mir bekannten) Angriffe, wenn man nen entsprechenden Virus allerdings aus dem Baukasten zamsetzen und direkt per Web ohne allzu großes Insider-Wissen einschleusen kann, könnte sich die Sache ändern..