Jusletter IT

Sicherheit und Datenschutz im Smart Grid – Rechtliche Anforderungen und technische Lösungen

  • Authors: Aljoscha Dietrich / Dominik Leibenger / Christoph Sorge
  • Category: Articles
  • Region: Germany
  • Field of law: Data Protection
  • Collection: Conference proceedings IRIS 2018
  • Citation: Aljoscha Dietrich / Dominik Leibenger / Christoph Sorge, Sicherheit und Datenschutz im Smart Grid – Rechtliche Anforderungen und technische Lösungen, in: Jusletter IT 22 February 2018
Der deutsche Gesetzgeber hat in kurzer Zeit gleich zwei Artikelgesetze verabschiedet, welche auf die Verbesserung der IT-Sicherheit und den Schutz kritischer Infrastrukturen (KRITIS) abzielen. Zur selben Zeit findet ein großer Wandel im Energiesektor (Teil von KRITIS) statt. Die Einführung intelligenter Stromnetze und -zähler ist beschlossen; die Umsetzung wird bereits erprobt. Der Beitrag gibt einen Überblick über neue gesetzliche Anforderungen (u.a. IT-Sicherheitsgesetz und NIS-Richtlinie) im Kontext intelligenter Netze/Zähler sowie technische Lösungen für damit verbundene Datenschutzprobleme.

Inhaltsverzeichnis

  • 1. Einführung / Motivation
  • 2. Rechtlicher Rahmen
  • 2.1. Datenschutz
  • 2.2. IT-Sicherheit
  • 3. Technische Lösungsansätze
  • 3.1. Abrechnung
  • 3.2. Netzbetrieb
  • 3.2.1. Glättung
  • 3.2.2. Verrauschen
  • 3.2.3. Aggregation
  • 4. Fazit und Ausblick
  • 5. Danksagung

1.

Einführung / Motivation ^

[1]
Mit der zunehmend dezentralen und volatilen Erzeugung elektrischer Energie bei gleichzeitig beschränkten Speicher- und Transportkapazitäten erhöhen sich die Anforderungen an Steuerung und Regelung der Netze, mithin auch an die Erfassung und Bereitstellung von Informationen. Eine der Folgen ist die wachsende Bedeutung von Informationstechnik in Stromnetzen – vom Letztverbraucher, in dessen Haushalt ein intelligentes Messsystem (Smart Meter) installiert wird, über die Verteil- und Übertragungsnetzbetreiber bis hin zu den Erzeugern. Man spricht daher auch von intelligenten Stromnetzen (Smart Grids). In der Folge sind aber auch die Anforderungen an die IT-Sicherheit gestiegen: Beispielsweise können verfälschte Informationen zu flächendeckenden Stromausfällen führen – etwa, wenn dadurch Kraftwerke oder auch große Verbraucher vom Netz genommen werden. Auf Ebene einzelner Haushalte spielt der Datenschutz eine wichtige Rolle; so lassen sich An- und Abwesenheit von Bewohnern, bei genauer Erfassung aber auch einzelne Vorgänge innerhalb des Haushalts erfassen. Geräte wie Waschmaschinen oder Kühlschränke können an der Verbrauchscharakteristik erkannt werden; bei einer Waschmaschine lassen sich z.B. Aufheizphasen erkennen. Die Warmwassererzeugung mittels elektrischer Durchlauferhitzer, wie mancherorts üblich, führt zu extremen Verbrauchsspitzen, die die Nutzung einer Dusche erkennbar machen; gegebenenfalls entsteht hier schon innerhalb eines Haushalts Erklärungsbedarf. Bei sehr hoher zeitlicher Auflösung der Messung ist sogar die Erkennung von Filmen anhand der Leistungsaufnahme eines Fernsehgeräts möglich, die in hellen Szenen ansteigt1.
[2]
Mit Einbindung weiterer elektrischer Geräte, etwa von elektrisch betriebenen Fahrzeugen, deren Batterie dem Stromnetz als Puffer zur Verfügung gestellt wird, verschärft sich die Problematik. Der vorliegende Beitrag soll einen Überblick über rechtliche Anforderungen und technische Lösungsmöglichkeiten für IT-Sicherheit und Datenschutz in Smart Grids bieten.

2.

Rechtlicher Rahmen ^

[3]
Zunächst soll der rechtliche Rahmen von Smart Grid und Smart Metern in Hinblick auf IT-Sicherheit und Datenschutz aufgespannt werden. Der Schwerpunkt soll jedoch auf den Aspekten des Datenschutzes liegen. Ausgeklammert werden sollen hier zum einen die historische Entwicklung der Gesetze und zum anderen rechtliche Regelungen, die zum Einbau bzw. zur Nutzung von Smart Metern verpflichten.

2.1.

Datenschutz ^

[4]
Die Regelungen des bisherigen Bundesdatenschutzgesetzes (BDSG) sollen hier nicht im Detail erörtert werden, da ab dem 25. Mai 2018 die Datenschutz-Grundverordnung (DS-GVO)2 sowie das BDSG in neuer Fassung3 gelten werden. Im Jahr 2011 hat sich bereits die Artikel-29-Datenschutzgruppe Gedanken mit dem Einsatz von Smart Metern befasst.4 Viele Forderungen, wie beispielsweise Privacy by Design5 sowie ein Recht auf Korrektur und Löschung6, fanden bereits Umsetzung in der DS-GVO bzw. der nationalen Gesetzgebung.
[5]
Voraussetzung für die Anwendbarkeit der DS-GVO ist gem. Art. 1 Abs. 1 die Verarbeitung personenbezogener Daten. In der DS-GVO definiert Art. 4 Nr. 1:
«personenbezogene Daten » [als] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden « betroffene Person ») beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
[6]
Eine Definition der Verarbeitung findet sich in Art. 4 Nr. 2.
[7]
Die von Smart Metern verarbeiteten Daten sind potentiell geeignet, unter diese Definition zu fallen. In der Vergangenheit haben sich die Datenschutzaufsichtsbehörden im Rahmen des Düsseldorfer Kreises bereits mit dieser Thematik auseinandergesetzt und eine Orientierungshilfe veröffentlicht.7 Die Datenschutzaufsichtsbehörden kommen zu dem Schluss, dass sämtliche mit dem Smart Meter erhobenen Daten grundsätzlich personenbezogen sind.8 Die Einschätzung bezieht sich noch auf das BDSG-alt, gegen eine Übertragbarkeit dürfte jedoch wenig sprechen. In der Literatur gibt es Kritik an dieser sehr weiten Auslegung9; sie wird jedoch dem Schutzgedanken des Datenschutzrechts gerecht. Zumindest bei einer Teilmenge der verarbeiteten Daten kann davon ausgegangen werden, dass es sich um personenbezogene Daten i.S.d. Art. 4 Nr. 1 DS-GVO handelt.
[8]
Weiterhin ist zu prüfen, ob es sich bei den verarbeiteten Daten möglicherweise um besondere Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DS-GVO handeln könnte. Dies sind (strengerem Schutz unterliegende) Daten, «aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person [...]». Bei den von Smart Metern erhobenen Daten erscheint eine solche Einordnung auf den ersten Blick abwegig. Doch es sind Konstellationen möglich, welche die Herleitung solcher Informationen aus den Smart-Meter-Daten erlauben. Das Verlassen des Hauses während katholischer Sonntagsmessen könnte Hinweise auf die Religionszugehörigkeit erlauben; eine Krankheit und damit der Gesundheitszustand ließe sich aus längeren Zeiträumen herleiten, in denen das Haus nicht verlassen wird. Eine mittelbare Zurechenbarkeit zu einer der besonderen Kategorien soll zwar genügen, zur Anwendbarkeit des Art. 9 DS-GVO muss jedoch eine entsprechende Auswertungsabsicht bestehen.10 Eine Zuordnung zu besonderen Kategorien personenbezogener Daten ist demnach im Kontext der Smart Meter eher unwahrscheinlich, jedoch auch nicht gänzlich auszuschließen.
[9]
Schwieriger zu beantworten ist die Frage, wer alles zu dem Personenkreis der Betroffenen gezählt werden kann. Unstrittig ist, dass hierzu der Anschlussnutzer gehört, der mit dem Energielieferanten den Vertrag geschlossen hat. Fraglich ist jedoch, ob auch ein Bezug zu weiteren Personen, insbesondere weiteren Bewohnern des Haushalts, besteht. Kaum mehr zu halten ist an dieser Stelle der absolute Personenbezugsbegriff, wonach es für das Vorliegen personenbezogener Daten genügt, wenn irgendeine Stelle die betreffende Person identifizieren kann. Seiner Entscheidung zu der Frage nach dem Personenbezug dynamischer IP-Adressen hat der EuGH den relativen Personenbezugsbegriff zugrunde gelegt; dabei sind aber auch Zusatzinformationen zu berücksichtigen, die sich die verantwortliche Stelle erst noch beschaffen muss, um die betreffenden Daten einer Person zuzuordnen.11 Es ist davon auszugehen, dass diese Entscheidung auch für andere Bereiche wie den Energiesektor relevant sein dürfte.12
[10]
Demnach kommt es bei der Festlegung des Personenkreises der Betroffenen darauf an, ob die betreffenden Personen tatsächlich identifizierbar sind. Hierfür kann aber u.a. auch die Datenspur im Internet, insbesondere die in den sozialen Netzwerken, hinzugezogen werden. So ließe sich identifizieren, welche Personen sich tatsächlich im Haushalt aufhalten. Ein Personenbezug könnte so auch bei weiteren Bewohnern/Angestellten möglich sein, u.a. in Familienwohnungen, Kleinbetrieben, WGs und ähnlichen Gruppen.13
[11]
Neben den übermittelten Rohdaten sind auch abgeleitete Daten personenbezogen – also etwa Rückschlüsse auf Verhaltensweisen der Bewohner. Die Möglichkeit solcher Verarbeitungen hat im Übrigen auch Einfluss auf eventuelle Interessenabwägungen im Rahmen der Prüfung, welche Datenübermittlungen zulässig sind. Der Detailgrad möglicher Rückschlüsse hängt davon ab, wie häufig die Messdaten erfasst und übermittelt werden. Das Spektrum ist sehr groß: es reicht von den bisher üblichen jährlichen Messwerten bis hin zu Messintervallen im Sekundentakt. Häufig wird jedoch von Messwerten im 15-Minuten-Takt ausgegangen. Bei sehr geringen Messintervallen kann die Verwendung einzelner Geräte identifiziert werden. Dies reicht – wie oben erwähnt – so weit, dass unter Umständen sogar auf die Inhalte, die auf einem Fernseher dargestellt wurden, geschlossen werden kann.14 Auch Ableseintervalle im Stundentakt lassen voraussichtlich noch Rückschlüsse auf Gewohnheiten und die Lebensführung zu – beispielsweise darauf, wann eine Person morgens aufsteht, sich Essen zubereitet und das Haus verlässt. Der Personenbezug abgeleiteter Daten hängt nicht von deren Richtigkeit ab: Auch objektiv falsche Daten können personenbezogen sein.15
[12]
Bei der Verarbeitung von personenbezogenen Daten gelten nach der DS-GVO weitreichende Pflichten des Verantwortlichen gegenüber dem Betroffenen. Art. 12 i.V.m. Art. 13 bzw. Art. 14 DS-GVO sieht umfassende Informationspflichten gegenüber dem Anschlussnutzer vor, welche «in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache» erfolgen müssen. Nach Art. 14 DS-GVO können möglicherweise auch Informationspflichten gegenüber weiteren Betroffenen (im Haushalt) bestehen.

Sektorspezifische Regelungen

[13]

Neben den allgemeinen Regelungen der DS-GVO können auch sektorspezifische Vorschriften aus dem Bereich des Energierechts Anwendung finden. Zu nennen ist vor allem das Artikelgesetz «Gesetz zur Digitalisierung der Energiewende» vom 29. August 2016. Den Kern bildet das Messstellenbetriebsgesetz (MsbG), welches den Anspruch hat, abschließende Regelungen bzgl. des Smart-Meter-Datenschutzes zu formulieren. In § 49 Abs. 1 S. 2 MsbG heißt es dementsprechend: «Eine Übermittlung, Nutzung oder Beschlagnahme dieser Daten nach anderen Rechtsvorschriften des Bundes oder der Länder ist unzulässig.»

[14]
In der Literatur findet derzeit eine Diskussion darüber statt, ob der nationale Gesetzgeber überhaupt die Gesetzgebungskompetenz bzgl. der Datenschutzaspekte des MsbG innehat. Die DS-GVO genießt gemäß Art. 288 Abs. 2 AEUV Anwendungsvorrang vor widersprechendem nationalen Recht. Zwar enthält die DS-GVO sogenannte Öffnungsklauseln, welche den nationalen Gesetzgebern die Kompetenz zur Regelung bestimmter Bereiche überlassen, der Energiesektor fällt jedoch explizit nicht darunter.16 Andere Stimmen argumentieren jedoch, dass sich eine Zulässigkeit nationaler Regelungen für den Energiesektor aus der Daseinsfürsorge als ein öffentliches Interesse ergibt. Die Öffnungsklausel nach Art. 6 Abs. 2 i.V.m. Abs. 1 lit. E DS-GVO würde demnach ausgefüllt. Bräuchle liefert ein weiteres Argument für die Gültigkeit des MsbG, das sich aus dessen Entstehungsgeschichte ergibt, da es sich um die Umsetzung einer EU-Richtlinie handelt.17
[15]
Mit dem MsbG kommt es zu einer Verschiebung der Zuständigkeiten. So fungierte der Verteilnetzbetreiber bisher als «Datendrehschreibe».18 Nun sollen intelligente Messsysteme die Daten verarbeiten und direkt an die einzelnen Akteure übertragen.19 Dies entspricht der sogenannten Sternkommunikation – im Gegensatz zu der bisherigen Kettenkommunikation. In der Literatur gab es bisher Stimmen, die sich für das Kettenmodell ausgesprochen haben. Grund hierfür sind vor allem die besseren Möglichkeiten, den Datenfluss zu kontrollieren.20
[16]
Ferner zählt das MsbG abschließend die Stellen auf, die zur Erhebung, Verarbeitung und Nutzung berechtigt sind. Neben bekannten Marktrollen erhält hier auch jede weitere Stelle die Berechtigung, welche über die Einwilligung des Anschlussnutzers gemäß §4a BDSG verfügt.21 Der Verweis auf den § 4a BDSG ist hier und an anderen Stellen des MsbG explizit, d.h. bis zur Anwendbarkeit der DS-GVO zum 25. Mai 2018 ist eine Anpassung mit entsprechendem Verweis auf die Normen der DS-GVO notwendig.
[17]

Für die Umsetzung in der Praxis ist vor allem das vorgeschriebene Datenschutzkonzept von Interesse. In den §§ 55 ff. des MsbG werden die Erlaubnistatbestände zur Datenverwendung aufgezählt. Diese orientieren sich an den energiewirtschaftlichen Vorgängen und dem Grundsatz der Datensparsamkeit.22 Als allgemeine Anforderung bei der Datenkommunikation gilt demnach, dass stets eine Anonymisierung oder Pseudonymisierung der Daten vorzunehmen ist, soweit dies der Verwendungszweck zulässt.23 So gilt beispielsweise, dass bei Verbrauchern, deren Jahresverbrauch 10'000 kWh übersteigt, Zählerstände grundsätzlich nur in viertelstündlicher Auflösung und erst am Folgetag übermittelt werden dürfen.24 Die meisten Privathaushalte fallen nicht hierunter; von diesen dürfen in der Regel nur Jahresarbeitswerte übermittelt werden.25 Ausnahmen gelten u.a., wenn ein variabler Tarif gewählt wurde26 oder eine unterbrechbare Verbrauchseinrichtung nach § 14a EnWG Verwendung findet27.

[18]
Für zukünftige Arbeiten sind die Erlaubnistatbestände noch weiter aufzuschlüsseln. Es muss jedoch zum aktuellen Zeitpunkt davon ausgegangen werden, dass voraussichtlich in der Praxis keine 15-minütigen Messwerte von üblichen Privathaushalten verwendet werden können. Auswege könnten hier über eine Anonymisierung und Aggregierung gefunden werden, um den Personenbezug zu entfernen.

2.2.

IT-Sicherheit ^

[19]
Aus den Datenschutzbestimmungen der DS-GVO ergeben sich auch direkte Anforderungen für die Datensicherheit. Art. 25 i.V.m. Art. 32 DS-GVO – Sicherheit der Verarbeitung – bleibt jedoch sehr abstrakt und verlangt Maßnahmen zur
  • Pseudonymisierung und Verschlüsselung personenbezogener Daten,
  • dauerhaften Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste,
  • Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten bei einem physischen oder technischen Zwischenfall rasch wiederherstellen zu können, und zur
  • regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen.
[20]
Eine Konkretisierung analog zur Anlage zu § 9 Satz 1 BDSG a.F. gibt es nicht mehr. Die Maßnahmen nach Art. 32 DSG-VO sollen dem «Stand der Technik» folgen. Oft wird auf diesen Begriff verwiesen, anstatt konkrete technische Anforderungen festzulegen. In der Praxis werden häufig internationale und nationale Standards und Normen sowie «Best Practices» zur Bestimmung des Begriffs herangezogen. Hier sind insbesondere die ISO/IEC-27000-Familie sowie die IT-Grundschutzkataloge des BSI zu nennen.
[21]

Rechtliche Verpflichtungen zur IT-Sicherheit ergeben sich auch aus den Anforderungen des IT-Sicherheitsgesetzes (IT-SiG) sowie der NIS-Richtlinie28 für kritische Infrastrukturen (KRITIS).

[22]
Motivation der Regelungen ist die hohe und wachsende Abhängigkeit der Gesellschaft von digitalen Infrastrukturen und Dienstleistungen. Da sich ein Bewusstsein für die Risiken oft erst nach ernsthaften Zwischenfällen ausprägt, sah der Gesetzgeber hier die Notwendigkeit einer rechtlichen Regulierung.
[23]

Die Regelungen richten sich primär an KRITIS-Betreiber. KRITIS sind gemäß § 2 Abs. 10 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) «Einrichtungen, Anlagen oder Teile», u.a. aus dem Sektor Energie, «welche von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdung für die öffentliche Sicherheit eintreten würden.» Näher bestimmt werden sollen KRITIS jedoch gemäß der Rechtsverordnung nach § 10 Abs. 1 BSIG in der sogenannten BSI-KritisV. Die Konkretisierungen wurden in zwei Körben festgelegt, Regelungen zu dem Energiesektor finden sich im ersten Korb. § 2 Abs. 5 BSI-KritisV verweist auf die im Anhang festgelegten Kategorien und Schwellwerte, die zu einer KRITIS-Zuordnung führen. Grundlage der berechneten Schwellwerte sind jeweils 500'000 betroffene Personen. KRITIS-Betreiber werden u.a. dazu verpflichtet, die zur Erbringung ihrer wichtigen Dienste erforderliche IT nach Stand der Technik abzusichern29, die Sicherheit mindestens alle zwei Jahre nachzuweisen30 und Störungen der IT zu melden.31 Bei Aufdeckung von Sicherheitsmängeln kann das BSI im Einvernehmen mit Aufsichtsbehörden deren Beseitigung anordnen. Gemäß § 8a Abs. 2 BSIG können KRITIS-Betreiber branchenspezifische Sicherheitsstandards (B3S) vorschlagen, das BSI muss deren Eignung festlegen. Für den Energiesektor wurde entsprechend ein Sicherheitskatalog gemäß § 11 Abs. 1a EnWG durch die Bundesnetzagentur veröffentlicht. Kernforderung ist die Etablierung eines Informationssicherheits-Managementsystems (ISMS) gemäß DIN ISO/IEC 27000132. Eine Zertifizierung muss bis zum 31. Januar 2018 erfolgen.33

3.

Technische Lösungsansätze ^

[24]
In den vorangegangenen Abschnitten wurde aufgezeigt, dass die Erfassung und Verarbeitung detaillierter Stromverbrauchswerte einzelner Haushalte im Rahmen des Smart Grid mit erheblichen Datenschutzrisiken verbunden ist. Ein vollständiger Verzicht auf Erfassung oder Verarbeitung personenbezogener Daten zugunsten des Datenschutzes ist indes nicht möglich: Nicht nur werden bereits heute zum Zwecke der Tarifierung Verbrauchswerte einzelner Haushalte – wenngleich nur in sehr grober zeitlicher Granularität – erfasst. Eine Verfeinerung dieser Granularität verspricht auch Vorteile für einzelne Stromkunden, etwa durch die Möglichkeit des Anbieters zur Weitergabe von Preisvorteilen bei Stromnutzung zu Zeiten von Überproduktion. Dies wird umso relevanter, je größer der Anteil erneuerbarer Energien an der Stromproduktion wird.34
[25]
Im Einklang mit dem dargestellten rechtlichen Rahmen muss das Ziel daher sein, das Smart Grid so umzusetzen, dass nur diejenigen personenbezogenen Daten erfasst und verarbeitet werden, die technisch zwingend erforderlich sind – ein Ansatz, der gemeinhin unter Privacy by Design gefasst und durch Einsatz geeigneter Privacy Enhancing Technologies (PETs) ermöglicht wird. In diesem Kapitel soll ein Überblick über passende Technologien gegeben werden.
[26]
Zunächst können zwei wesentliche Zwecke unterschieden werden, zu denen datenschutzkritische, personenbezogene Daten im Kontext des Smart Grid erfasst und verarbeitet werden müssen, für die aber gänzlich unterschiedliche technische Anforderungen bestehen: Zum Zwecke der Abrechnung sind exakte Verbrauchsdaten einzelner Haushalte erforderlich, es genügen jedoch in der Regel aggregierte Werte über längere Verbrauchszeiträume (bspw. der Gesamtverbrauch innerhalb eines Monats oder Jahres). Für die Stabilisierung des Netzbetriebes hingegen sind zwar Daten zu möglichst kurzen Zeiträumen erforderlich. Dafür gibt es hier geringere Anforderungen an die Genauigkeit der Daten und auch eine Zuordenbarkeit der Messwerte zu einzelnen Haushalten ist in der Regel nicht erforderlich: Die Werte einer Gruppe von Haushalten (bspw. innerhalb einer geographischen Nachbarschaft) können typischerweise zusammengefasst werden.

3.1.

Abrechnung ^

[27]
Eine datenschutzgerechte Abrechnung kann im einfachsten Fall dadurch ermöglicht werden, dass die Abrechnungsdaten nur lokal auf dem Smart Meter eines Haushalts erfasst werden und erst zum Abrechnungszeitpunkt der kumulierte Wert an den Netzbetreiber übermittelt wird. Dies entspräche der klassischen Vorgehensweise, bei der die Stromzähler einzelner Haushalte einmal jährlich abgelesen werden. Einfache Tarife wie eine Unterteilung in Haupt-/Nebenzeittarif könnten hier durch Erfassung und Übermittlung mehrerer kumulierter Werte realisiert werden. Da hier erst gar keine feingranularen Daten erfasst werden, sind klassische IT-Sicherheitsmaßnahmen wie die Verwendung sicherer Kanäle (bspw. TLS) zur Übermittlung von Verbrauchswerten ausreichend, um ein angemessenes Datenschutzniveau zu garantieren und ein Aus- und Mitlesen durch Unbefugte zu verhindern. Technische Voraussetzung dieser einfachen Lösung ist lediglich die Manipulationssicherheit des Smart Meters: Endkunden müssen sich sicher sein können, dass keine zu hohen Verbrauchswerte an den Anbieter kommuniziert werden; Anbieter müssen sich darauf verlassen können, dass keine zu niedrigen Werte übertragen werden. Schutz vor Manipulation seitens des Nutzers kann durch Einsatz eines Trusted Platform Modules (TPM) als Vertrauensanker innerhalb des Smart Meters erreicht werden35; das nötige Vertrauen beim Kunden wird durch externe Zertifizierungen und eichrechtliche Anforderungen hergestellt36.
[28]
Eine der geschilderten Chancen des Smart Grid besteht jedoch darin, den Stromverbrauch mittels deutlich flexiblerer Tarifstrukturen besser an die tatsächliche Produktion anpassen zu können – entweder durch zuvor festgelegte, aber komplexere zeit- und/oder verbrauchsabhängige Preisstrukturen, oder auch dynamisch auf Grundlage des jeweils aktuellen Energieangebots. Für die Bereitstellung von Flexibilitäten, also der anbietergesteuerten Schaltung von Verbrauchern (bspw. Schalten einer Waschmaschine innerhalb eines vom Kunden festgelegten Zeitintervalls), sollten Endkunden zudem entlohnt werden. Zwar könnte auch diese komplexere Abrechnung prinzipiell auf dem Smart Meter des Kunden erfolgen; die Anforderungen an Hard- und Software des Smart Meters wären hier jedoch deutlich höher und die Möglichkeiten zur Kontrolle durch Kunde und Anbieter stärker eingeschränkt. Alfredo Rial und George Danezis schlagen für diesen Fall eine Lösung vor, die mit einfacher bzw. kostengünstiger Smart-Meter-Hardware auskommt37: Der Vorschlag besteht darin, handelsübliche (d.h. nicht manipulationssichere) Hardware des Nutzers – beispielsweise einen PC mit einem Webbrowser – in die Abrechnung mit einzubeziehen. Das Smart Meter erfasst dazu lokal feingranulare Verbrauchswerte, die vom Nutzer auf seinem PC eingesehen und ausgewertet werden können, ohne dass der Anbieter hierauf Zugriff erhält. Anhand eines vom Anbieter bereitgestellten (komplexen) Preismodells und dieser Verbrauchsdaten wird die Abrechnung auf dem PC des Nutzers generiert und lediglich die Rechnungsbeträge an den Anbieter übertragen. Eine Kombination verschiedenster kryptographischer Verfahren (Signaturverfahren, (homomorphe) Commitment-Verfahren und Zero-Knowledge-Beweise) stellt dabei sicher, dass der Anbieter die Korrektheit der auf dem PC des Nutzers erzeugten Rechnung verifizieren kann, ohne Informationen über die detaillierten Verbrauchswerte des Nutzers erfahren zu können.

3.2.

Netzbetrieb ^

[29]
Zum Zwecke der Stabilisierung des Netzbetriebes sind zeitlich feiner granulare Verbrauchsdaten erforderlich. Geringere Anforderungen an die Präzision der Daten (im Vergleich zur Abrechnung) sowie die Möglichkeit zur räumlichen Aggregation von Messwerten (bspw. Zusammenfassung der Verbrauchswerte von Haushalten einer Nachbarschaft) schaffen jedoch Spielraum für den Einsatz von PETs. Bevor geeignete Technologien dargestellt werden können, muss aber zunächst geklärt werden, welche konkreten Daten zur Netzstabilisierung benötigt werden.
[30]
Wesentliches Erfordernis eines stabilen Netzbetriebs ist, dass sich die ins Netz eingespeiste sowie die aus dem Netz gezogene elektrische Leistung die Waage halten. Für die Energielieferung an einen Netzknoten werden kurzfristig also Informationen über die aktuelle Nachfrage an diesem Knoten benötigt, was bspw. der Summe der aktuellen Verbräuche der an dem Netzknoten angeschlossenen Haushalte entspricht. Darüber hinaus besteht eine der Chancen des Smart Grids aber auch darin, anhand historisch erfasster, feingranularer Verbrauchswerte einzelner Haushalte oder kleinerer Gruppen von Haushalten genauere Prognosen über zukünftige Verbrauchskurven berechnen und auf dieser Basis die Energieproduktion längerfristig optimieren zu können. Zuletzt werden neben tatsächlichen Verbrauchswerten Informationen über explizit bereitgestellte Flexibilitäten benötigt, um eine Laststeuerung durch den Anbieter zu ermöglichen.
[31]
Ein Anonymisierungsansatz, bei dem Verbrauchswerte einzelner Haushalte für kurze Zeitintervalle derart an den Anbieter übertragen werden, dass keine zwei Messwerte eines Haushalts einander zuordenbar sind, würde den Nutzen der Messwerte etwa für Prognosezwecke stark einschränken. Werden die Messwerte lediglich pseudonymisiert, sodass Messwerte eines Haushalts zwar einander zuordenbar bleiben, die Identitäten der zugehörigen Haushalte jedoch vorm Anbieter versteckt werden, bleibt die Nützlichkeit der Daten erhalten. Costas Efthymiou und Georgios Kalogridis beschreiben einen Pseudonymisierungsansatz für Smart-Meter-Daten38, der insbesondere Gefahren der Pseudonymaufdeckung durch zeitliche Korrelation (durch gezielte Einführung zufälliger Verzögerungen im Protokollablauf) entgegenwirkt. Trotz dieser Gegenmaßnahmen ist jedoch fragwürdig, ob ein angemessenes Datenschutzniveau über einen reinen Pseudonymisierungsansatz erreicht werden kann. Nicht nur wird diese Einschränkung von den genannten Autoren explizit erwähnt. Auch finden sich in der Literatur zahlreiche Beispiele für Fälle, in denen pseudonymisierte Datensätze anhand von Zusatzinformationen nachträglich erfolgreich Identitäten zugeordnet werden konnten.39
[32]
Das Gros existierender Forschungsarbeiten im Bereich des Smart-Meter-Datenschutzes diskutiert daher Ansätze, die über reine Pseudonymisierung hinausgehen. Die vorgeschlagenen Maßnahmen können grob in drei Kategorien eingeteilt werden: Glättung, Verrauschen und Aggregation.

3.2.1.

Glättung ^

[33]
Um Informationen über die Lebensgewohnheiten einzelner Bewohner aus den Stromverbrauchsdaten eines Haushalts herauszufiltern, können die für den Anbieter sichtbaren Verbrauchswerte geglättet werden. Dies kann erreicht werden, indem eine Pufferbatterie zwischen das Smart Meter und die eigentlichen Verbraucher geschaltet wird. Solange die Verbraucher durch die Pufferbatterie gespeist werden können, sind ihre Lastprofile für den Anbieter nicht sichtbar. Eine vollständige Verschleierung ist aufgrund begrenzter Kapazitäten und Leistung einsetzbarer Batterien jedoch nicht durchführbar: Bereits durch das notwendige Aufladen der Pufferbatterie erhält der Anbieter Kenntnisse, die Rückschlüsse auf die eingesetzten Verbraucher zulassen. Der Grad der hierdurch preisgegebenen Informationen innerhalb eines abstrakten Batteriemodells wurde anhand verschiedener möglicher Ladestrategien von David Varodayan und Ashish Khisti formal analysiert.40 Zumindest heutzutage scheint ein Einsatz von Pufferbatterien zur Verbrauchsglättung in jedem Haushalt jedoch impraktikabel oder zumindest unwirtschaftlich.
[34]
Ihr Einsatz wird jedoch auch in anderem Zusammenhang diskutiert, nämlich zur Generierung von Rauschen.

3.2.2.

Verrauschen ^

[35]
In einer von Backes und Meiser präsentierten Lösung41 wird eine Pufferbatterie verwendet, um formale Datenschutzgarantien im Sinne von Differential Privacy zu erreichen. Verbraucher werden dazu nicht direkt über die Pufferbatterie gespeist. Vielmehr wird die Batterie verwendet, um anhand einer Laplace-Verteilung gezielt Rauschen zu generieren. Beginnend mit einem Ladezustand von 50% wird die Batterie vor jeder Verbrauchswertübertragung an den Anbieter gemäß des berechneten Rauschwerts ein Stück weit geladen oder entladen, um den Verbrauchswert zu verändern. Die Autoren berücksichtigen in ihrer Analyse insbesondere auch praktische Rahmenbedingungen des Batterieeinsatzes, etwa die Auswirkungen begrenzter Batteriekapazität, begrenzten Durchsatzes beim Laden/Entladen, sowie die Tatsache, dass die Leistungsfähigkeit von Batterien mit der Zeit abnimmt. Eine Preisgabe von Informationen im Falle notwendigen, gezielten Aufladens einer entladenen Batterie wird durch Einsatz einer zweiten, deutlich kleineren Pufferbatterie verhindert, die Differential-Privacy-Garantien auch für das Aufladen der Haupt-Pufferbatterie ermöglicht. Auch diese Lösung ist durch den Batterieeinsatz jedoch mit hohen Kosten verbunden; starke Datenschutzgarantien sind in einem realistischen Szenario nur bei Verbrauchern mit geringer Leistung und – aufgrund von Batteriealterung – nur für einen begrenzten Zeitraum möglich.
[36]
Rauschen kann jedoch auch ohne Einsatz einer physischen Batterie verwendet werden, um den Datenschutz im Smart Grid zu gewährleisten. In verschiedenen Forschungsarbeiten wird vorgeschlagen, lediglich die vom Smart Meter an den Anbieter übertragenen Verbrauchswerte mittels einer Rauschfunktion zu verschleiern42. Zwar führt dies dazu, dass beim Anbieter inkorrekte Verbrauchswerte vorliegen; zum Zwecke der Netzstabilisierung sind Ungenauigkeiten bis zu einem gewissen Grad jedoch in der Regel tolerierbar. Dies gilt vor allem dann, wenn Verbrauchswerte anbieterseitig ohnehin aggregiert werden, etwa um die Summe der Verbräuche einer Gruppe von Haushalten zu bestimmen: Bei hinreichend großen Gruppengrößen kann das zufällige Rauschen, das anhand einer dem Anbieter bekannten Verteilungsfunktion von den einzelnen Smart Metern zu Verbrauchswerten hinzugefügt wurde, anbieterseitig statistisch herausgerechnet werden. Anwendung findet das Verfahren daher überwiegend in Arbeiten, die auch datenschutzgerechte Aggregation von Smart-Meter-Messdaten diskutieren.

3.2.3.

Aggregation ^

[37]
Für die Aggregation von Verbrauchsdaten über eine Gruppe von Smart Metern43 gibt es eine Reihe von Forschungsansätzen. Ihr Ziel ist, jeweils aktuelle Messwerte der Gruppenmitglieder so zusammenzufassen, dass der Anbieter zwar den Gesamtwert44 – etwa die Summe der Verbräuche – sehen kann, nicht aber Aussagen über Einzelwerte treffen kann. Im einfachsten Fall kann dies durch Einführung einer Trusted Third Party (TTP) erreicht werden45 – also einer dritten Instanz, die als Proxy zwischen Smart Metern und Anbieter fungiert und nur die Summe der Einzel-Messwerte der Smart Meter an den Anbieter übermittelt. Diese Lösung setzt jedoch ein sehr hohes Vertrauen in die TTP voraus.
[38]
Kryptographische Protokolle ermöglichen, auf dieses Vertrauen zu verzichten, indem die Einzelwerte durch einzelne Smart Meter so verschlüsselt werden, dass nur ihre Summe vom Anbieter entschlüsselt werden kann. Flavio D. Garcia und Bart Jacobs verwenden dazu eine Kombination aus homomorpher Verschlüsselung und Secret Sharing46: Jedes Smart Meter einer Gruppe der Größe N erzeugt dazu N Zufallszahlen so, dass ihre Summe dem eigenen Messwert entspricht47, und ordnet jede dieser Zahlen einem Smart Meter der Gruppe zu. Der Smart Meter j zugeordnete Messwert wird mit seinem öffentlichen Schlüssel additiv homomorph verschlüsselt und an den Anbieter übertragen. Aufgrund der homomorphen Verschlüsselung kann der Anbieter alle für ein Smart Meter j bestimmten Werte aufaggregieren; Smart Meter j kann das Aggregat entschlüsseln und dem Anbieter mitteilen. Während keines der Aggregate Aussagen über einzelne Messwerte ermöglicht (das Aggregat enthält N-1 Zufallszahlen), entspricht die Summe aller Aggregate der Summe der Einzel-Messwerte aller Smart Meter der Gruppe.
[39]
Zahlreiche weitere Forschungsarbeiten, die zum Teil geringere Anforderungen an Smart Meter und Kommunikationskanäle (etwa in Hinblick auf Bandbreite und/oder Sicherheit) stellen, beruhen auf derartigen Eigenschaften homomorpher Verschlüsselungsverfahren.

4.

Fazit und Ausblick ^

[40]
Smart Grids – und somit letztlich auch die Energiewende – können langfristig nur erfolgreich sein, wenn die (IT-)Sicherheit aller Komponenten, insbesondere der installierten Informationstechnik, gewährleistet ist. Durch digitale Angriffe verursachte Stromausfälle stellen eine reale Gefahr dar, die sich nur durch die Sorgfalt aller Beteiligten und Einhaltung aktueller IT-Sicherheits-Standards vermeiden lassen. Der Gesetzgeber hat diese Bedrohung erkannt und versucht, ihr durch verbindliche Vorgaben zu begegnen. Trotz im Grundsatz einfacher Schutzziele und bereits gut erforschten Maßnahmen bleibt die Sicherung der komplexen Smart Grids auf absehbare Zeit eine anspruchsvolle Aufgabe.
[41]
Schwieriger noch stellt sich die Lage im Bereich des Datenschutzes dar. Der vorliegende Beitrag hat einen Überblick über Ansätze aus der Forschung geliefert, die allerdings bislang überwiegend lediglich mit abstrakten Modellen arbeiten und sich in ein reales Stromnetz, an dem zahlreiche Akteure mit unterschiedlichen Rollen beteiligt sind, nicht ohne weiteres integrieren lassen. Eine praktische Umsetzung, die einerseits ein höchstmögliches Datenschutzniveau gewährleistet, andererseits aber allen Akteuren die jeweils benötigten Informationen bereitstellt, ist Gegenstand aktueller Arbeiten. Der Gesetzgeber hat solche Ansätze, die über Verschlüsselung und Pseudonymisierung hinausgehen, noch nicht berücksichtigt, so dass auch weiterhin eine interdisziplinäre Zusammenarbeit im Bereich des Datenschutzes notwendig sein wird.

5.

Danksagung ^

[42]
Diese Arbeit wurde zu Teilen durch das SINTEG-Projekt DESIGNETZ unterstützt, finanziert durch das Bundesministerium für Wirtschaft und Energie (BMWi), Fördernummer 03SIN224.
  1. 1 Greveler, Ulrich/Justus, Benjamin/Löhr, Dennis, Identifikation von Videoinhalten über granulare Stromverbrauchsdaten. In Sicherheit 2012, Beiträge der 6. Jahrestagung des Fachbereichs Sicherheit, GI, 2012, S. 35–45.
  2. 2 Vgl. Art. 99 Abs. 2 DS-GVO.
  3. 3 Art. 8 Abs. 1 DSAnpUG-EU.
  4. 4 Vgl. Article 29 Data Protection Working Party, Opinion 12/2011 on smart metering, April 2011.
  5. 5 Art. 25 DS-GVO.
  6. 6 Art. 16, 17 DS-GVO.
  7. 7 Konferenz der Datenschutzbeauftragten des Bundes und der Länder und Düsseldorfer Kreis, Orientierungshilfe datenschutzgerechtes Smart Metering, 2012.
  8. 8 Vgl. Konferenz der Datenschutzbeauftragten des Bundes und der Länder und Düsseldorfer Kreis, S. 8, 9 und 18.
  9. 9 Vgl. Wiesemann, Hans Peter, Orientierungshilfe zum datenschutzgerechten Smart Metering, ZD 2012, S. 448.
  10. 10 Vgl. Schulz, Sebastian, Art 9. In: Peter Gola (Hrsg.), Datenschutz-Grundverordnung, C.H.Beck, München 2017, Rn. 11 sowie die Überlegungen von Möllers, Frederik/Sorge, Christoph, Hausautomationssysteme im Datenschutzrecht, In Kooperation: Tagungsband des 18. Internationalen Rechtsinformatik Symposions IRIS 2015, Österreichische Computer Gesellschaft, S. 557.
  11. 11 EuGH: Speicherung von IP-Adressen beim Besuch einer Website, NJW 2016, S. 2583.
  12. 12 Vgl. Lutz Martin Keppeler, Personenbezug und Transparenz im Smart Meter-Datenschutz zwischen europäischem und nationalen Recht, EnWZ 2016, S. 102.
  13. 13 Vgl. Keppeler, S. 102.
  14. 14 Greveler/Justus/Löhr, S. 35–45.
  15. 15 Vgl. Keppeler, S. 103, da andernfalls das Recht auf Berichtigung unrichtig gespeicherter personenbezogener Daten nach Art. 16 DS-GVO keine Anwendung finden würde.
  16. 16 Keppeler, S. 105 ff.
  17. 17 Vgl. Bräuchle, Thomas: Datenschutzprinzipien in IKT-basierten kritischen Infrastrukturen, Nomos, Baden-Baden 2017, S. 34.
  18. 18 Lüdemann, Voker/Ortmann, Manuel Christian/Prokrant, Patrick: Das neue Messstellenbetriebsgesetz, EnWZ 2016, S. 342.
  19. 19 § 60 Abs. 2 MsbG.
  20. 20 Raabe, Oliver/Lorenz, Mieke/Pallas, Frank/Weis, Eva, Harmonisierung konträrer Kommunikationsmodelle im Datenschutzkonzept des EnWG – «Stern» trifft «Kette», CR 2011, S. 831–840.
  21. 21 § 49 Abs. 2 MsbG.
  22. 22 Vgl. Lüdemann/Ortmann/Pokrant, S. 345.
  23. 23 § 52 Abs. 3 MsbG.
  24. 24 § 60 Abs. 3 MsbG.
  25. 25 § 60 Abs. 3 Nr. 1 MsbG.
  26. 26 § 35 Abs. 1 Nr. 2 MsbG. Dann sind die Zählerstände des Vortages bereitzustellen.
  27. 27 § 60 Abs. 3 Nr. 2 MsbG.
  28. 28 EU-Richtlinie 2016/1148 «über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union», in Deutschland umgesetzt mit dem Gesetz zur Umsetzung der NIS-Richtlinie vom 23. Juni 2017.
  29. 29 § 8a Abs. 1 BSIG.
  30. 30 § 8a Abs. 3 BSIG.
  31. 31 § 8b Abs. 4 BSIG.
  32. 32 IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz, S. 8 ff.
  33. 33 IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz, S. 15.
  34. 34 Im Gegensatz zu Kohle- und Atomkraftwerken ist die Einspeisung durch Windkraft- und Photovoltaikanlagen wetterbedingt großen Schwankungen ausgesetzt.
  35. 35 Petrlic, Ronald, A privacy-preserving Concept for Smart Grids. In: Sicherheit in vernetzten Systemen: 18. DFN Workshop, Books on Demand GmbH, 2010, S. B1–B14.
  36. 36 Vgl. BSI-Schutzprofil BSI-CC-PP-0073 und technische Richtlinie BSI TR-03109.
  37. 37 Rial, Alfredo/Danezis, George, Privacy-preserving smart metering. In: Proceedings of the 10th annual ACM workshop on Privacy in the electronic society (WPES «11). ACM, New York, NY, USA, 2011, S. 49–60. DOI: 10.1145/2046556.2046564.
  38. 38 Efthymiou, Costas/Kalogridis, Georgio, Smart Grid Privacy via Anonymization of Smart Metering Data. In: Proceedings of the First IEEE International Conference on Smart Grid Communications, Gaithersburg, MD, 2010, pp. 238–243. DOI: 10.1109/SMARTGRID.2010.5622050.
  39. 39 Narayanan, Arvind/Shmatikov, Vitaly, Robust De-anonymization of Large Sparse Datasets. In: Proceedings of the IEEE Symposium on Security and Privacy (SP 2008), Oakland, CA, 2008, S. 111–125.
  40. 40 Varodayan, David/Khisti, Ashish, Smart meter privacy using a rechargeable battery: Minimizing the rate of information leakage. In: Proceedings of the IEEE International Conference on Acoustics, Speech and Signal Processing (ICASSP), Prague, 2011, S. 1932–1935. DOI: 10.1109/ICASSP.2011.5946886.
  41. 41 Backes, Michael/Meiser, Sebastian, Differentially Private Smart Metering with Battery Recharging. In: Data Privacy Management and Autonomous Spontaneous Security: 8th International Workshop, DPM 2013, and 6th International Workshop, SETOP 2013, Egham, UK, September 12-13, 2013, Revised Selected Papers, S. 194–212. DOI: 10.1007/978-3-642-54568-9_13.
  42. 42 Vergleiche Bohli, Jens-Matthias/Sorge, Christoph/Ugus, Osman, A Privacy Model for Smart Metering. In: Proceedings of the IEEE International Conference on Communications Workshops, Capetown, 2010, S. 1–5. DOI: 10.1109/ICCW.2010.5503916 und Ács, Gergely/Castelluccia, Claude, I Have a DREAM! (DiffeRentially privatE smArt Metering). In: Information Hiding: 13th International Conference, IH 2011, Prague, Czech Republic, May 18-20, 2011, Revised Selected Papers, S. 118–132. DOI: 10.1007/978-3-642-24178-9_9.
  43. 43 Die Wahl der Zuordnung von Smart Metern zu Gruppen ist ein separates Problem und hängt davon ab, wie die aggregierten Daten weiterverarbeitet werden sollen. In der Regel wird von einer Aggregation der Messwerte geographisch naher Smart Meter zum Zwecke der Netzstabilisierung ausgegangen; denkbar – auch für Prognosezwecke – ist aber auch, Haushalte mit ähnlichem Lastprofil (ähnliche Größe, Bewohnerzahl, …) zu gruppieren.
  44. 44 Je nachdem, ob der Aggregationsansatz mit Rauschen kombiniert wird, kann es sich um einen exakten oder einen ungefähren Wert handeln.
  45. 45 Vergleiche Vorschläge in Petrlic, Ronald, A privacy-preserving Concept for Smart Grids. In: Sicherheit in vernetzten Systemen: 18. DFN Workshop, Books on Demand GmbH, 2010, S. B1–B14 und Bohli, Jens-Matthias/Sorge, Christoph/Ugus, Osman, A Privacy Model for Smart Metering. In: Proceedings of the IEEE International Conference on Communications Workshops, Capetown, 2010, S. 1–5. DOI: 10.1109/ICCW.2010.5503916.
  46. 46 Garcia, Flavio D./Jacobs, Bart, Privacy-Friendly Energy-Metering via Homomorphic Encryption. In: Security and Trust Management: 6th International Workshop, STM 2010, Athens, Greece, September 23-24, 2010, Revised Selected Papers, S. 226–238. DOI: 10.1007/978-3-642-22444-7_15.
  47. 47 Eine der N Zahlen ist also keine Zufallszahl, sondern die Differenz zwischen Messwert und Summe der N-1 Zufallszahlen.