Solarparks mit der Handfunke steuern?

Digitale Kommunikation ist in der kritischen Infrastruktur schon an vielen Stellen schon Stand der Technik. Leider lassen auch digitale Standards Möglichkeiten für eine unverschlüsselte Kommunikation offen.

Ende 2022 wurde bekannt, dass Hacker*innen in deutschen Städten Verkehrsampeln mittels Funktechnik auf grün schalten können[1]. Selbstredend kann dies zu erheblichen Einschränkungen oder gar Chaos im Straßenverkehr führen. Dies betont die Notwendigkeit stärkerer Sicherheitsmaßnahmen zum Schutz kritischer Infrastruktur im Sektor Transport und Verkehr.
Daneben haben die Datenabflüsse bei Alarmierungen von Feuerwehr und Rettungsdienst [2] gezeigt, dass bei Funktechnik in puncto Verschlüsselung auch in anderen Sektoren der kritischen Infrastruktur noch große Defizite bestehen.

Nicht nur Ampeln haben eine ungeschützte Funk-Schnittstelle

Die AG KRITIS wurde von Hobby-Funkern kontaktiert, die auf ein ähnlich gelagertes Problem bei Energie-Erzeugungsanlagen hingewiesen haben. Wir haben Einblick bekommen in Mitschnitte aus TETRA-Digitalfunknetzen von zwei Energieversorgungsunternehmen (EVU) aus dem Süden und Südwesten Deutschlands, die zeigen, wie die EVUs ihre Erzeugungsanlagen über ihre Digitalfunknetze steuern.
Dabei kamen gleich mehrere gravierende Schwachstellen zutage:

  • Die TETRA-Digitalfunknetze der beiden EVUs nutzten keine Verschlüsselung
  • Das verwendete Fernwirkungs-Protokoll zur Steuerung der Energie-Erzeugungsanlagen ist ein gängiger Industrie-Standard und frei zugänglich
  • Die technischen Details zur konkreten Umsetzung (wie Anschlussbelegung von Schalt-Elementen und deren Zuordnung im Steuerungs-Protokoll) waren auf den Internet-Seiten der EVUs gut dokumentiert

Was ist TETRA-Digitalfunk-Technik ?

Ab Mitte der 1990er Jahre entwickelte sich der Terrestrial Trunked Radio (TETRA) Standard zu einer modernen Alternative zum analogen Bündelfunk. Firmen und Behörden können bei der Bundesnetzagentur (BNetzA) die Nutzung eines TETRA-Digitalfunknetzes beantragen. Die Liste der Zuteilungen wird von der Bundesnetzagentur öffentlich gepflegt [3]. Darin aufgeführt sind zahlreiche Infrastruktur-Betreiber, sowohl unter- als auch überhalb der KRITIS-Schwelle, sowie auch zahlreiche namhafte Firmen. Die Antragstellenden erhalten bei Zuteilung eine eigene Funknetz-Kennung sowie eine Frequenzbereichszuweisung. Diese liegt gemäß den „Verwaltungsvorschriften für Frequenzzuteilungen im schmalbandigen Bündelfunk (VVBüfu)“ im Bereich von 410–420 MHz (Uplink, also Mobilgerät zur Basisstation) und 420–430 MHz (Downlink, also Basisstation zu Mobilgerät) [4].

Technisch besteht die Möglichkeit, die Luftschnittstelle (also die Verbindung zwischen Mobilgerät und Basisstation):

  • gar nicht zu verschlüsseln („class 1“)
  • mit einem statischen Schlüssel zu kryptieren („class 2“)
  • mittels dynamischen Schlüssel zu verschlüsseln („class 3“)

Eine obligatorische Verschlüsselung im TETRA-Digitalfunk-Standard gibt es somit nicht [5].

Unabhängig von der Verschlüsselung der Luftschnittstelle hat der Funknetz-Betreiber ferner die Möglichkeit, eine Ende-zu-Ende-Verschlüsselung zu verwenden. Diese ist technisch unabhängig vom TETRA-Standard, denn die so verschlüsselten Daten werden transparent durchgereicht. Die Ende-zu-Ende-Verschlüsselung ist vom Funknetz-Betreiber somit separat zu implementieren.

Im Netz des digitalen Behördenfunks („BOSNet“) kommen sowohl die dynamische Verschlüsselung der Luftschnittstelle, als auch die zusätzliche Ende-zu-Ende-Verschlüsselung zum Einsatz. Mit diesen Maßnahmen kann der digitale Behördenfunk als ausreichend abhörsicher eingeschätzt werden. Selbst wenn Angreifende Zugriff direkt auf die Basisstationen oder die Vernetzung der Basisstationen untereinander hätten, wäre die Kommunikation noch gegen Mitlesen gesichert.

Beispiel: Fernwirktechnik der EVUs

Nach Aussage der Hinweisgeber waren die TETRA-Digitalfunknetze der beiden EVUs in deren Versorgungsgebiet und auch „zig Kilometer“ darüber hinaus mit „einem halben Meter Draht auf der Fensterbank als Antenne“ zu empfangen und mitzulesen. Auf eine Verschlüsselung wurde in beiden Fällen betreiberseitig komplett verzichtet.

Laut Website der betroffenen EVUs kommt TETRA-Digitalfunk zur Fernsteuerung für Photovoltaik-Anlagen bis 100 kW zum Einsatz. Verwendet wird hier das Kommunikationsprotokoll IEC 60870-5-101 [6]. Das Protokoll wird als allgemeines Übertragungsprotokoll zwischen (Netz-)Leitsystemen und Fernbedienungs-Terminals eingesetzt.

Wie von den Hobby-Funkern gezeigt, reichen ein Funkempfänger für unter 30 Euro [7], freie Software [8] und ein betagtes Laptop mit Linux-Betriebssystem aus, um im unverschlüsselten TETRA-Digitalfunk den Sprechfunk und die Kurznachrichten (Short Data Service, SDS) mitzuschneiden.
Die mitgeschnittenen Textnachrichten der beiden Funknetze zeigten tatsächlich in Klartext die typische Rahmen-Struktur des IEC 60870-5-101-Protokolls. Mittels frei verfügbarer Software wie Wireshark [9] und passender Erweiterungen [10] war es so leicht möglich, die Steuerungsprotokolle zu analysieren und grafisch aufzubereiten.

Die beiden EVUs stellten auf Ihrer Website auch sogenannte „Musterdatenmodelle“ bereit.
Aus diesen ging die exakte Zuordnung der Fernwirk-Telegramme auf die jeweilige Funktion hervor, wie z.B.:

  • Schalten von Lasttrennschaltern
  • Freigabesignale zur Drosselung der Wirkleistungseinspeisung auf die definierten Sollwerte wie 0 % bzw. 30 % / 60 % / 100 %
  • Rückmeldung der Freigabesignale

Zudem war die eingesetzte Hardware, also die konkret verwendeten digitalen TETRA-Modems und die genaue Verdrahtung der Schaltausgänge/Sensoreingänge mit den Steuereingängen/Schaltausgängen der Wechselrichter der Energieerzeugungs-Anlagen, gut dokumentiert.

In der Gesamtheit war also im Detail beschrieben, mit welchen TETRA-Kurznachrichten die Steuereingänge und Lasttrennschalter der Energieerzeugungs-Anlagen angesteuert werden können. Auch die Status-Rückmeldung der Energieerzeugungs-Anlagen an das Netz-Leitsystem war exakt dokumentiert.

Nur Mithören tut doch keinem weh ?

Potentiellen Angreifenden lagen also frei zugänglich im Internet und durch passives Mitschneiden der unverschlüsselten TETRA-Kurznachrichten alle für den Fernwirkbetrieb relevanten Informationen vor. Dazu zählen vor allem die Steuerbefehle aus dem Netzleitsystem zur Erzeugungsanlage, aber auch die Status-Rückmeldungen in Gegenrichtung.

Mit einem finanziellen Aufwand unter 200 Euro [11] wäre es leicht möglich gewesen, in die Steuerung der Energieerzeugungs-Anlagen aktiv einzugreifen. Die Sende- und Empfangsanlagen dafür sind frei verkäuflich.

So hätten beispielsweise falsche Steuerbefehle an die Energieerzeugungs-Anlagen oder falsche Status-Rückmeldungen an die Netz-Leitstelle gesendet werden können. Vorausgesetzt, Angreifende hätte sich innerhalb der Reichweite des TETRA-Digitalfunknetzes des jeweiligen EVUs aufhalten können.

Im schlimmsten Fall hätten falsche Steuerbefehle an die Energieerzeugungs-Anlagen (beispielsweise eine abrupte Abregelung vieler Anlage bei Volleinspeisung) zu negativen Rückwirkungen auf das Stromnetz in der Region geführt.
Falsche Status-Rückmeldungen an das Leitsystem hätten ggf. zu falschen Regeleingriffen im Stromnetz geführt. Eines der EVU gibt an, dass über 7.000 Energieerzeugungs-Anlagen und Lastschalter über sein TETRA-Netz angesteuert werden.

Doch so weit gingen die Hobby-Funker nicht. Der Sachverhalt wurde ausreichend dokumentiert und an das CERT-Bund (Computer Emergency Response Team des Bundes) im Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet. Dafür steht beim BSI ein geeignetes Meldeformular zu Verfügung [12].

Eine direkte Rückmeldung der betroffenen EVUs an die Hinweisgeber erfolgte nicht. Jedoch zeigte die Analyse der beiden TETRA-Digitalfunknetze nach einigen Wochen, dass die optionale Verschlüsselung der Luftschnittstelle aktiviert worden war. Es können seitdem nur noch verschlüsselte Textnachrichten mittels Funkempfänger mitgeschnitten werden. Offensichtlich wurde diese Schwachstelle von den EVUs geschlossen.

Was bleibt ?

Die Liste „Zuteilungen TETRA-Netzkennungen (ITSI-Blocks)“ der BNetzA [3] zeigt über 300 Zuweisungen von TETRA-Digitalfunknetzen an Unternehmen, Einrichtungen und Behörden. Vertreten sind Nutzer aus verschiedenen KRITIS-Sektoren und privatwirtschaftliche Nutzer wie:

  • Energieversorgungsunternehmen und Stadtwerke
  • Betreiber kerntechnischer Anlagen
  • ÖPNV-Anbieter
  • Kliniken
  • Flughäfen
  • Justizvollzugsanstalten und Justizbehörden
  • Zentralbanken
  • Forschungseinrichtungen
  • große Industriebetriebe

Bislang liegt es im Ermessen der Betreibenden kritischer Infrastrukturen selbst (speziell derer unterhalb der BSI-KritisV Schwellenwerte), wie ihre Anlagen kontrolliert und physisch geschützt werden. Durch individuelle Fehleinschätzungen der privaten Betreibenden entstehen so Sicherheitslücken, wie das Beispiel oben zeigt, oder auch der Fall des Digitalfunk-Ausfalls der Deutschen Bahn.

Über die Sicherheit der TETRA-Digitalfunknetze ist aktuell nur wenig bekannt. Ob es sich bei den betrachteten EVUs um Einzelfälle handelte, kann aus Sicht der AG KRITIS nicht abschließend bewertet werden. Es ist jedoch davon auszugehen, dass schlicht auf Grund der Möglichkeit und Legitimität TETRA unverschlüsselt zu betreiben, dies auch noch in weiteren Funknetzen so praktiziert wird.

Ein pikantes Detail aus den Beobachtungen der Hobby-Funker:
In einem der beobachteten Funknetze war der über Funk ausgesendete Status der Luftschnittstellen-Verschlüsselung zwar auf „aktiv“ gesetzt. Tatsächlich erfolgte die Übertragung jedoch unverschlüsselt. In der Dokumentation der verwendeten TETRA-Dekodier-Software heißt es dazu:

„Question: tetra-rx reports Air Encryption:1, does this mean that all is encrypted?
Answer: No, this means that someone has paid money for the encryption license for their TETRA
infrastructure. To use encryption each radio needs to have encryption enabled too, which also costs. So probably there will still be some radios (which are not used for secret communications), without encryption.“

Rechtlicher Rahmen

In § 5 des „Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien“ (TTDSG) ist das Abhörverbot geregelt. So heißt es in Absatz 1:
„Mit einer Funkanlage dürfen nur solche Nachrichten abgehört oder in vergleichbarer Weise zur Kenntnis genommen werden, die für den Betreiber der Funkanlage, für Funkamateure […], für die Allgemeinheit oder für einen unbestimmten Personenkreis bestimmt sind.“
Gemäß § 27 TTDSG droht hier eine Freiheitsstrafe bis zu 2 Jahren.

Für das Betreiben einer Funkanlage auf Frequenzen ohne Genehmigung und Zuteilung der Frequenz durch die Bundesnetzagentur drohen Bußgelder gemäß § 228 des Telekommunikationsgesetz (TKG) in Höhe von bis zu 500.000 €. Außerdem sanktioniert § 316b des Strafgesetzbuch (StGB) die Störung von Energieerzeugungs-Anlagen mit Freiheitsstrafe bis zu fünf Jahren oder mit einer Geldstrafe.

Es drohen also sowohl beim passiven Abhören und erst recht beim aktiven Eingriff in fremde Funknetze empfindliche strafrechtliche Konsequenzen.

Auch im europäischen Ausland gibt es ähnliche gesetzliche Regelungen. Als Beispiel sei hier der Fall Dejan Ornig aus Slovenien [13] angeführt. Herr Ornig hatte die fehlende Verschlüsselung beim TETRA-Digitalfunknetz der Sicherheitsbehörden seines Landes aufgedeckt und wurde mittlerweile rechtskräftig verurteilt.

Aufgrund der eindeutigen strafrechtlichen Situation müssen wir eindringlich davor warnen, TETRA-Digitalfunknetze selber abzuhören.

Als AG KRITIS fordern wir :

  • Alle öffentlich zugänglichen digitalen Schnittstellen im Bereich der kritischen Infrastruktur – insbesondere Digitalfunknetze – müssen Verschlüsselung nutzen.
  • Bundesweit geltende Sicherheits-Standards und gesetzliche Vorgaben gibt es bislang nicht. Die Sicherheitsanforderungen an kritische Infrastrukturen müssen endlich bundesweit einheitlich geregelt werden, beispielsweise in einem KRITIS-Dachgesetz.
  • Verbindliche Sicherheitsaudits für ausnahmslos alle Betreibenden technischer Infrastruktur, auch jene, welche die Schwellenwerte der „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ (BSI-Kritisverordnung – BSI-KritisV [14]) unterschreiten.

Responsible Disclosure:

Bevor dieser Artikel veröffentlicht wurde, haben wir diesen dem BSI am 12. Februar 2023 zur Verfügung gestellt und eine Stillhaltefrist vom 90 Tagen vereinbart. So konnte das BSI alle Betreiber informieren und zur Behebung dieser Schwachstelle auffordern. Wir hoffen, dass zum jetzigen Zeitpunkt alle betroffenen Betreiber vom BSI informiert worden sind und diese Sicherheitslücke bereits geschlossen ist.

Quellen:

[1]: https://www.ndr.de/fernsehen/sendungen/panorama3/Kritische-Infrastruktur-Wie-leicht-Ampeln-manipuliert-werden-koennen,ampeln120.html

[2]: https://ag.kritis.info/2022/05/20/datenabfluss-bei-feuerwehr-und-rettungsdienst/

[3]: https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Nummerierung/TechnischeNummern/ITSI/ITSI_zuget_Rufnr.pdf

[4]: https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Frequenzen/Verwaltungsvorschriften/VVBuefu.pdf

[5]: https://de.wikipedia.org/wiki/Terrestrial_Trunked_Radio

[6]: https://de.wikipedia.org/wiki/IEC_60870#IEC_60870-5-101

[7]: https://en.wikipedia.org/wiki/Software-defined_radio#RTL-SDR

[8]: https://github.com/sq5bpf/telive

[9]: https://de.wikipedia.org/wiki/Wireshark

[10]: https://github.com/michaelxzhang/iec101-103-selcmd_dissectors

[11]: https://en.wikipedia.org/wiki/List_of_software-defined_radios

[12]: https://www.bsi.bund.de/DE/IT-Sicherheitsvorfall/IT-Schwachstellen/Schwachstellenmeldungen/Schwachstellenmeldungen_node.html

[13]: https://securityaffairs.co/47579/hacking/hacking-tetra-protocol.html

[14]: https://www.gesetze-im-internet.de/bsi-kritisv/

Der Artikel wurde von unseren Mitgliedern Yves Ferrand und Slow Pete verfasst.

Quelle Beitragsbild: https://commons.wikimedia.org/wiki/File:Solarpark_Koenigsbrueck_2.JPG