Datenschutz und Datensicherheit im Kontext intelligenter Messsysteme

Transkript

1 Datenschutz und Datensicherheit im Kontext intelligenter Messsysteme Dr. Christian Hofmann, Spreitenbach, Die Software Datenbank-Spezialisten. mit Energie.

2 Datenschutz vs. Datensicherheit Datenschutz Gesamtheit der Standards der gesetzlichen und betrieblichen Regelungen zum Schutz der Rechte der Gemeinschaft sowie natürlicher und juristischer Personen vor Verletzung der Vertraulichkeit, der Integrität und der Sicherheit des Informationshaushaltes (in Anlehnung an Pawlikowsky) Datensicherung/Datensicherheit Massnahmen, Vorkehrungen und Einrichtungen zur Verwirklichung des Datenschutzes und zur Erreichung des erforderlichen Grades an (Daten-) Sicherheit

3 Schadensklassifikation Primärschäden entstehen durch direkte Kosten zur Wiederherstellung des normalen Betriebes wie z.b. Wiederbeschaffungskosten, Sonderschichten usw. Diese Schäden sind meist leicht beschreibar und quantifizierbar. Sekundärschäden Schäden, die von der Betriebsunterbrechung verursacht werden, und meist viel grösser als Primärschäden sind. U.a. Imageverlust, Kundenverlust oder auch rechtliche Folgen bei Nichteinhaltung von Verträgen. Dort wird es als unmittelbare und mitelbare Auswirkungen bezeichnet.

4 Datenschutzanforderungen und Risiken Möglichkeiten: Kontrolle von An- und Abwesenheiten / Urlaub feste Gewohnheiten (Nachtruhe, Wochenendaktivitäten, TV-Konsum) genutzte Geräte (Art, Alter der Geräte, ) resultierende Risiken: Schutz vor ungewollten Werbekampagnen Profiling Ausforschung der Lebensgewohnheiten Zugriff von Hackern oder staatlichen Stellen Quelle (Bild):

5 Datenschutz als (Miss-)Erfolgsfaktor nach Protesten von Verbraucherund Datenschützern wurde der Roll-Out-Prozess von intelligenten Zählern in den Niederlanden zunächst gestoppt und Vorgaben überarbeitet Berücksichtigung von Datensicherheit und Datenschutz Quelle (Bild):

6 Smart Metering in den Medien Quelle: Heise -

7 Chaos-Computer-Club (CCC) Quelle: ZDNet- 28c3-hacker-manipulieren-daten-von-intelligenten-stromzaehlern/ ( )

8 Schutzziele (1) Vertraulichkeit Information ist nur den berechtigten Nutzern bekannt / Geheimhaltung der Daten während der Übertragung Verdecktheit versteckte Übertragung von vertraulichen Daten / Die Existenz einer vertraulichen Kommunikation ist nur den Kommunikationspartnern bekannt Anonymität Nutzer können Ressourcen und Dienste benutzen, ohne ihre Identität zu offenbaren (auch nicht gegenüber Kommunikationspartner) Unbeobachtbarkeit Nutzung von Ressourcen und Diensten, ohne dass andere dies beobachten können. Dritte können weder das Senden noch den Erhalt von Nachrichten beobachten. Verschlüsselung der Datenübertragung zum Datenschutz abgeschwächt: Pseudonymisierung

9 Schutzziele (2) Integrität bezeichnet die Korrektheit, Vollständigkeit und Aktualität von Daten oder die eindeutige Bestimmung, dass diese nicht gegeben sind Zurechenbarkeit Signaturbildung (Quelle) Sendern bzw. Empfängern von Informationen kann das Senden bzw. der Empfang der Informationen bewiesen werden Verfügbarkeit Funktionen eines IT-Systems sind vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können Verbindlichkeit rechtliche Verantwortlichkeiten bez. Erfüllung von Verantwortlichkeiten innerhalb einer angemessenen Zeit Erreichbarkeit Zu einer Ressource kann Kontakt aufgenommen werden, wenn gewünscht Signaturbildung (kor. Messergebnisse / Manipulationserkennung)

10 Vor wem ist zu schützen? Naturgesetze und Naturgewalten Bauteile altern Überspannung (Blitzschlag, EMP) Spannungsausfall Temperaturänderungen Menschen Aussenstehende Benutzer oder Betreiber des Systems Wartungsdienst Produzenten bzw. Entwerfer des Systems Produzenten oder Entwerfer der Entwurfs und Produktionshilfsmittel Fehlertoleranz (universelles) Trojanisches Pferd

11 Bsp. Bedrohungsszenarien / Angriffe durch Aussenstehende, Benutzer/Betreiber, Software Schadcode in Software (trojanische Pferde, Viren etc.) Ausnutzen von Software-Schwachstellen (z. B. Heartbleed ) Hardware Einbringen von manipulierter Hardware (Trojaner) Manipulation von Hardware durch physischen Zugriff netzwerkbasierte Angriffe (D)DoS, Diebstahl von Schlüsselmaterial, Identitätsdiebstahl Privatsphäre / Datenschutz Abhören und Sammeln von personenbeziehbaren Daten Verbrauchs- und Nutzungsprofile auf Basis der übermittelten Daten (ebenso Datenvolumen, Übertragungszeitraum etc.)

12 Angriffsziele Ansatzpunkte von Angreifern für entsprechende Angriffsziele sind insbesondere an den schwächsten Punkten der gesamten Sicherheitskette Angriffsziele mit dem geringsten Risiko und dem grössten Gewinn Quelle (Bild):

13 Beispiel: OpenSSL-Bug Heartbleed (1) Quelle:

14 Beispiel: OpenSSL-Bug Heartbleed (2) Quelle:

15 Angreiferkategorien nach S. Gerhager Level 1 preiswerte Elektrizität Level 2 preiswerte Elektrizität für jedermann Level 3 Hacking der umgebenden Infrastruktur mittels Zähler bzw. Gateway Level 4 gezielte Angriffe (Spionage & Terrorismus) Level 5 Cyberkrieg

16 Datenschutz Smart Metering CH DSG Schutz der Persönlichkeit und Grundrechte (Wahrung von Privatsphäre und Geschäftsgeheimnissen) ¼h-Messung ermöglicht vertieften Einblick in Lebens- & Geschäftsgewohnheiten (Persönlichkeitsprofil) bzw. Produktions- und Arbeitsvorgänge (besonders) schützenswerte Personendaten Erstellung eines Lastprofils namentlich eines Haushalts sehr detaillierte Informationen erhoben werden, die über das hinausgehen, was für die Abrechnung zu wissen notwendig ist Sammlungen von besonders schützenswerten Personendaten und von Persönlichkeitsprofilen müssen dem EDÖB gemeldet werden Notwendigkeit der Einwilligung des Endkunden Sicherstellung einer sicheren, gegen unbefugtes Bearbeiten geschützten Übermittlung und Aufbewahrung mittels technischer und organisatorischer Massnahmen Quelle: Datenschutz bei digitalen Stromzählern electrosuisse Bulletin 09-10/11

17 Empfehlungen des EDÖB Betroffene Personen umfassend und verständlich über die Datenbearbeitung informieren Bedarfsprognosen auf Basis anonymisierter oder über mehrere Haushalte aggregierter Daten Kein Zugriff auf Echtzeitdaten durch Netzbetreiber oder Energielieferanten Einrichten von Zugriffskontrollen und Protokollierung der Auslesung des Energieverbrauchs/LP hinsichtlich Speicherung Verschlüsselte Übertragung Schutz der Daten vor Verlust, Diebstahl, unerlaubtem Zugriff, Bekanntgabe, Verwendung oder Modifizierung Keine unzulässige Weitergabe (ohne Endkundenzustimmung) Quelle: Datenschutz bei digitalen Stromzählern electrosuisse Bulletin 09-10/11

18 Möglichkeiten des Datenschutzes Tarifbildung in dezentraler Architektur (im Gateway/Datenkonzentrator) problematisch aufgrund unterschiedlicher Marktanforderungen (Verantwortlichkeiten der Tarifübermittlung und Validierung) und Zuständigkeiten (beispielsweise Ersatzwertbildung) entspricht nicht der im "Weissbuch Smart Grid" vom VSGS geforderten nachgelagerten Tarifbildung im EDM zur flexiblen Tarifgestaltung Übermittlung von Tages- oder Monatszählerständen (grössere Perioden) zur Verbrauchsinformation Verlust von untertägigen zeitvariablen Tarifen im EDM

19 Empfehlungen und Möglichkeiten hinsichtlich Datenschutz und Datensicherheit Zählerstandsgangerfassung statt Lastprofilermittlung Zeitreihen mit impliziten Aufbewahrungsfristen (endliche Zeitreihen) zur Gewährleistung des nachgelagerten Datenschutzes und gleichzeitigen Verbrauchsdatenvisualisierung sowie Monats-/Tagesend- oder Jahresendzählerstandserfassung oder Extraktion von Einzelzählerständen für Abrechnungszwecke systemische Sicht bei der Betrachtung von Datenschutz und Datensicherheit unbedingt notwendig (Absicherung der zentralen IT auf Basis der Absicherung der dezentralen IT) Gewährleistung einer zuverlässigen, vertraulichen und diskriminierungsfreien Datenbereitstellung durch starke kryptographische Verfahren

20 symmetrische Verschlüsselung (z. B. AES) Klartext verschlüsselte Nachricht Klartext Absender Verschlüsselung Entschlüsselung Empfänger Gemeinsamer Schlüssel

21 asymmetrische Verschlüsselung Klartext verschlüsselte Nachricht Klartext Absender Verschlüsselung Entschlüsselung Empfänger öffentlicher Schlüssel des Empfängers privater Schlüssel des Empfängers

22 Hybride Verschlüsselung (Beispiel) Verschlüsselung des symmetrischen Keys mit dem öffentlichen Schlüssel des Empfängers verschlüsselte Nachricht Klartext Verschlüsselung II Absender Entschlüsselung I Entschlüsselung II Empfänger Verschlüsselung I Verschlüsselung des Klartextes mit symmetrischem Schlüssel Entschlüsselung des symmetrischen Keys durch den privaten Key des Empfängers Entschlüsselung mit übertragenem symmetrischen Schlüssel

23 Digitale Signatur Klartext digitale Signatur + Sender X.509-Cert Klartext Absender Signaturbildung Signaturprüfung Empfänger privater Schlüssel des Absenders öffentlicher Schlüssel des Absenders

24 Fragen & Antworten Dr.-Ing. Christian Hofmann Leiter Entwicklung robotron*e~collect Tel.: christian.hofmann@robotron.de