Netz-Burgenland schrieb, dass das
Datenschutzgesetz erfüllt wird. Das ist kein
Goodwill sondern gesetzliche Verpflichtung!
Uns geht es nicht um den
Schutz unserer Daten im Verwaltungsbereich von Netz-Burgenland.
Dort kommen zwar Datenschutzbestimmungen zur Anwendung, aber es sind an
gesetzliche Erfordernisse angelehnte, "hauseigene"
Datenschutzbestimmungen, die dem eigenen Geschäftbetrieb dienend,
modifiziert wurden.
Die jeweiligen nationalen und
internationalen Gesetze zum Schutz der Privatsphäre und Daten sind
bereits anwendbar, wenn sich die Daten noch in unser
Verfügungsgewalt befinden und nicht erst, wenn sie vom
Netzbetreiber "abgezweigt" und im Datenzentrum gespeichert den
"Netz-Burgenland-Datenschutz-Bestimmungen" unterliegen.
Uns geht es um unseren
Anspruch nach dem Grundrecht der Charta der Europäischen Union auf
Schutz und Achtung des Privatlebens und Datenschutz, den Bestimmungen
des Allgemeinen Bürgerlichen Gesetzbuches und der Europäischen
Menschenrechtskonvention, unsere mit einer Software auswertbaren,
über die eigentliche Zählerstandsabfrage
hinausgehenden, intimen Verbrauchsprofil-Daten in unserem persönlichen
Lebensbereich geschützt zu wissen, unter anderen auch vor dem
Netzbetreiber und seinen Methoden diese mit dem Smart-Meter auszulesen.
Wenn Netz-Burgenland Daten schützen
möchte, müssen sie erst mit unserer Zustimmung Daten erhalten.
Der Netzbetreiber bekommt
von uns jedes Jahr eine vom analogen
(=unintelligenten) Gerät abgelesene
Zählerstandsmeldung
für die Abrechnung. Damit muss
er seiner Verpflichtung zum Datenschutz nachkommen.
Andere Daten oder
Datenpakete, die mit einem intelligenten
Messgerät entweder in kurzen Abständen oder durchgehend digital
fernabgefragt werden und eine Verbrauchsprofilerstellung aus einer
Bewertungsmatrix möglich machen, somit ein Spiegelbild unserer
Persönlichkeit und Privatsphäre darstellen und eine An- oder
Abwesenheitskontrolle am Wohnobjekt ermöglichen, gehen niemand
etwas an und sind ungesetzlich. Solange
die letztgenannten Daten bei uns sind, haben wir das Recht, entsprechend
den Bestimmungen des Allgemeinen Bürgerlichen Gesetzbuches, der
Europäischen Menschenrechtskonvention und des Datenschutzgesetzes,
unsere Daten bei uns selbst zu schützen oder schützen zu lassen
Wir müssen dem Energieversorger nicht
erlauben, die in unsere Persönlichkeitsrechte eingreifenden Daten
entwenden zu dürfen, um sie von ihm schützen oder
verwalten zu lassen. Er hat nicht das Recht, gegen unseren Willen
und unser informelles Selbstbestimmungsrecht solche Daten "abzugreifen",
um sie dem Datenbestand des Energieversorgers zuzuordnen! Das ist so,
als ob Netz-Burgenland "Schutzrechte" über unsere Persönlichkeit oder
Privatsphäre beanspruchen wollte.
OUTSOURCING & STALKING
Im Zuge der zu erwartenden
Liberalisierung des Messwesens ergibt sich für uns als Kunden ein
weiteres großes Problem. Durch Outsourcing der Messdatenerfassung
erhöht sich sowohl der Kreis der Zugriffsberechtigten als auch
datenschutzrelevante Sicherheitsrisiken im Umgang
mit der softwaregestützten Auswertung unserer
digitalen Verbrauchsprofile als Spiegelbild unserer Persönlichkeit und
Privatsphäre, sowie den datenschutzrechtlichen Bestimmungen, die der
Weitergabe aller nicht mit der Zählerstandserfassung relevanten
Informationen entgegenstehen.
Beispielsweise
hat in dem viel
sensibleren Outsourcing-Bereich der Zahlungsdienstleistern Visa und
Paybox ein Hack zum Diebstahl der Zugangsdaten für das A-1-Mobilfunknetz
bei tausenden Kunden stattgefunden. (Heute.at) Eine gefährliche Situation, vor der kein adäquates
Verfahren geschützt ist, auch nicht das der bidirektionalen
Kommunikation der Smart-Meter-Administration.
Einer Pressemeldung der
Wiener Zeitung, 17.8.2017 folgend, hat sich Wien-Energie
dazu entschlossen, einen ähnlichen verwaltungstechnischen Schritt
zu gehen. 1,6 Millionen Smart-Meter werden installiert und von
einem Konsortium administriert, zu dem je eine deutsche, schweizerische
und eine slowenische Firma gehört:
ZITAT
"Den Zuschlag habe nach einem
mehrstufigen europaweiten öffentlichen Ausschreibungsverfahren ein
Konsortium aus Siemens, Landis+Gyr und Iskraemeco erhalten, teilten die
Wiener Netze mit. Der Auftragswert betrage 230 Millionen Euro, hieß es
am Donnerstag.
Die Vorbereitungen für den Rollout der ersten Smart Meter im
Versorgungsgebiet der Wiener Netze ab Mitte 2018 würden ab sofort
starten. Das Konsortium erbringe die erforderliche Technologie - IT,
Übertragungstechnik und Zähler - sowie die Dienstleistung (Logistik,
Testing, Betriebsführung etc.)"
ZITATENDE
Outsourcing wird bereits in den
Niederlanden betrieben. Der Netzbetreiber montiert die Smart-Meter samt
Infrastruktur und das gesamte Datenmanagement wurde ausgelagert (aus "Energiemessung:
Was Smart Metering alles kann" von Dr.Ing.
Florian Krug). Das breite Spektrum des intimen Lebensbereichs im Umgang
mit der Ware "Strom" kann nun von Betriebsfremden in deren
Einrichtungen, die mit der vertraglichen Stromlieferung selbst nicht
befasst sind, softwaregestützt ausspioniert werden.
Dies kommt dem von
Prof.Dr. Harald Welzer in seinem Werk "Die smarte Diktatur -
Der Angriff auf unsere Freiheit" (Verlag Fischer)
skizzierten "panoptischen Prinzip" sehr nahe, worunter zu verstehen ist,
dass sich "viele Unbekannte mit Machttechnologie dynamisch Wissen über
uns aneignen, ein Prinzip, das sich auf historischen Vorbildern
beruhend, in fast allen Bereichen als erfolgreiche Sozialtechnologie
etablierte".
Dieser
ausgelagerte Abrechnungsmodus wird mit an 100% grenzender
Wahrscheinlichkeit die Gesamtkosten für den Endverbraucher in die Höhe
treiben. Nicht der Endkunde, sondern der Energielieferant ist
Vertragspartner des Outsourcingunternehmens. Da der anfallende
Kostenfaktor als Durchlaufposten dem Energiebezieher angelastet wird
besteht gar kein Interesse, kostengünstige, billige Verträge
abzuschliessen. Endverbraucher haben auch keinen Einfluß, Bestbieter zu
wählen und werden kontinuierliche Tariferhöhungen in Kauf nehmen müssen.
Am Beispiel der ausgelagerten Heizkosten-Zählerablesung hat
ARD-Frontal am 18.1.2017 (ARD-Mediathek)
unter dem Titel "Das Kartell der Ableser -
Wie sich Firmen für Heizkostenerfassung eine goldene Nase verdienen"
sehr deutlich gezeigt, dass nur drei, einigen Investorengruppen
zugeordneten Unternehmen den millionenschweren Markt der
Messdatenerfassung- und abrechnung beherrschen, wobei eines besonders
dominiert und die Kartellbehörde bereits Untersuchungen aufnahm.
Einen anderen Weg verfolgt die
E-Wirtschaft in der BRD. Laut Bundesverband Neue Energiewirtschaft
(bne) war das Messstellenentgelt bisher Teil der Stromrechnung und
soll künftig an Subfirmen übertragen, Kunden zu einen vom Netzbetreiber
unabhängigen, nicht mit ihm abgestimmten, Vertragsverhältnis mit einer
separaten Abrechnung zwingen. Konsumenten, die diese Regelung ablehnen
drohen Sanktionen. Bemängelt wird auch der inakzeptable und juristisch
mangelhafte Rahmenvertrag. Gefordert wird ein rascher Dialog
involvierter Verbände und eine standardisierte und rechtlich
verbindliche Lösung, statt dieser konsumentenunfreundlichen ad
hoc-Lösung der E-Wirtschaft. Es bleibt abzuwarten, ob dieses Beispiel in
Österreich Schule macht (PV-Magazine
- bne kritisiert Diskriminierung beim Smart-Meter-Rollout, 7.9.2017
)
Daraus ergibt sich eine weitere Bedrohung
für den Kunden:
Solche
Outsourcing-Auftragsverfahren sehen vor, dass die Vergabe, wie von Wien-Energie bereits praktiziert, EU-weit
ausgeschrieben wird. Dadurch ist es ohne weiteres möglich, dass die
sensiblen Daten des intimen Fingerabdrucks unseres Umgangs mit der
gelieferten Ware Strom sowie das Abbild unserer An- und
Abwesenheit in unserer Wohnumgebung aus den digitalen
Datenströmen in einem Land analysiert würden, in das wir
keinesfalls solche Informationen senden möchten. Man muss die gleich Frage stellen,
die auch der
Kurier am 3.7.2016 in Bezug auf
Outsourcing des Rechenzentrums der Telekom Austria stellte:
ZITAT
Tatsächlich werde in Österreich ein
weiteres Zentrum errichtet und in Minsk werde demnächst ein
Rechenzentrum fertig gestellt. Fragt sich nur, wie es in einer Diktatur
wie Weißrussland um Datenschutz und -sicherheit steht.
ZITATENDE
Welche Analysen aus
den Datenströmen des Smart-Meters möglich sind, wurde in einer
NDR-Reportage mit dem Titel "Streit um "intelligente" Stromzähler" am Beispiel eines Stromkunden gezeigt, der über die
Netzbetreiber-Schnittstelle via Internet am Computer die volle Kontrolle
seiner Privatsphäre und aller im Haushalt lebenden Personen im Umgang
mit der Ware "Strom" hat. Was aber auch bedeutet, dass alle, intern oder
extern mit der Messdatenauswertung ("Spionage") befassten Personen, die
gleichen - wenn nicht sogar mehr - Parameter zur Verfügung haben. Auf
die daraus resultierenden Gefahren nimmt Prof.Werner Beba in einem
Interview in dieser NDR-Reportage Stellung.
Über eine andere
Gefahr, Digitalströme ohne Wissen des Netzbetreibers und des Kunden
"abzuzweigen" haben wir im Thread "Semantik & Rabulistik" berichtet. Wir zitieren hier nochmals die Fakten:
"Einen
interessanten Hinweis vermittelte das
Verbrauchermagazin des ZDF in der Sendung WISO am 25.4.2016.
Hier wurden technische und rechtliche Probleme für
den privaten "Drohnen"-Hobbypiloten erörtert. Es gab genügend Parallelen
zur unerlaubten Anfertigung von Bildern und Videos durch Geräte, die mit
dem entsprechenden "Überwachungs"-Equipment ausgestattet sind. Und ein
weiteres, erschreckendes Detail kam zur Sprache. Es wurde ein
chinesischer Drohnen-Produzent (DJI) genannt, der die mit dem Fluggerät
gemachten Video- und Bildaufnahmen nach China sendet, und sie, laut
eigener Auskunft, der chinesischen Regierung auf Verlangen zur Verfügung
stellt.
Dieses Beispiel
soll zeigen, dass man sich allen Ernstes fragen soll, ob Smart-Meter
samt Infrastruktur so abgesichert sind (falls das überhaupt möglich
ist?), dass diese Geräte keine Digitalinformationen an externe Quellen
(z.B. Hersteller intelligenter Messgeräte, oa.) senden. Es gibt nämlich
auch Smart-Meter aus chinesischer Produktion, z.B. KAIFA. Alarmierend
ist, dass dieser "Backdoor"-Datentransfer
von Netzbetreiber und Konsumenten nicht kontrolliert werden kann, wer
und in welchen Ländern der "Fingerabdruck" unseres intimen
Verbrauchsverhaltens (z.B. An- und Abwesenheit in der Wohnumgebung, etc)
analysiert und eventuell missbraucht."
Wie wir im
Thread "Semantik&Rabulistik" erörterten, haben viele Haushalte ein internes Netzwerk auf
Powerline‑Basis, also Internet und Datenübertragung über das Stromnetz. Theoretisch wäre es sogar möglich, dass das Smart-Meter
bereits mit einem "Extract Data Modul" am Gateway bestückt ist und nur
noch auf die "remote activation" wartet (durch wen auch immer ?) alle im
Homebereich des Powerline-Systems anfallenden Datenströme abzugreifen
und an eine vordefinierte Adresse zu senden, die theoretisch nicht
einmal dem Energieversorger bekannt sein muss. Damit würde den Kunden
der "Supergau" des Datenmissbrauchs treffen. Die Folgen wären
verheerend. Auch für diese und ähnliche Angriffe auf die
Privatsphäre könne die Infrastruktur des Smart‑Meters die Voraussetzung
bieten. Es ist schließlich ein "intelligentes
Messgerät", allzeit bereit nach außen zu kommunizieren, Befehle zu
empfangen, auszuführen und Resultate zu senden.
Mit der Datenanalyse befasste
Personen, egal ob intern oder extern, sind "erpressbar". Kriminelle
könnten die Herausgabe der Verbrauchsprofilprotokolle erzwingen. Diese
zeigen den Tätern wo längere Zeit kein Stromverbrauch detektiert wurde
und ein solches Objekt demnach unbewohnt oder für längere Zeit verlassen
ist (siehe unter
"Schwindel&Täuschung" / Open Standard) Smart-Meter
begünstigen so
etwas wie "digitales Stalking", das auf "analoger Basis" begangen, als
rechtswidriges Vergehen angezeigt werden kann!
Eine lukrative "Einbruchsliste" ist möglich durch eine
Kette von "intelligent" kooperierenden Netzstrukturen. Vom Smart-Meter
detektierte Datenströme und deren softwaregestützte Analyse machen
Mitarbeiter erpressbar oder bringen sie selbst in Versuchung. Ein
Smart-Meter bietet die Basis für solche Folgen. Jedoch nicht der
aktuell genützte, analoge "Ferraris-Zähler". Der schützt die
Privatsphäre und verhindert solche kriminellen Möglichkeiten!
Dass die zuvor erwähnte Gefahr
durch interne Strukturen softwareunterstützter Datenanalyse in sensiblen
Bereichen realistisch ist, zeigen Unternehmen im
Finanzdienstleistungsbereich durch ihre AGBs. Die im eVoucher-Segment
agierende Paybox Austria GmbH trägt beispielsweise diesem Umstand
Rechnung und sichert sich gegen "kriminelle Energie" in den eigenen
Reihen durch einen Passus in den paybox austria GmbH AGBs
ab, wenn es heißt: "5.5 Vorstehende
Haftungsausschlüsse und -beschränkungen gelten auch für eine allfällige
Haftung von Angestellten, Arbeitnehmern, Mitarbeitern, Vertretern und
Erfüllungsgehilfen von paybox GmbH."
Das
Fachmagazin Winfuture,
9.6.2017 , berichtete über einen besonders krassen Fall internen
Datendiebstahls:
ZITAT
Sensible Nutzerdaten gelangen nicht immer nur durch externe Angreifer in
die falschen Hände. Zuweilen kommt es auch vor, dass Insider in der
Branche der Verlockung nicht widerstehen können, die von den teils recht
lukrativen Angeboten des Schwarzmarktes ausgehen, wie sich auch in einem
aktuellen Fall zeigt. Die chinesischen Behörden haben dieser Tage 22
Personen verhaftet, die bei Partnern des US-Konzerns Apple arbeiteten.
Dort nutzten sie ihre Möglichkeiten nach dem bisherigen Stand der
Ermittlungen, um auf Datenbanken mit Informationen über iPhone-Nutzer
zuzugreifen und diese anschließend zu verkaufen. Der Nebenerwerb war
dabei durchaus ziemlich einträglich, wie aus einem Bericht von Engadget
hervorgeht.
ZITATENDE
Nur zwei Tage später musste das gleiche Fachmagazin eine weitere
erschreckende Meldung eines betroffenen Unternehmens unter dem Titel
"Gau bei Hosting-Anbieter Verelox - Ex-Mitarbeiter löscht alle Daten"
veröffentlichen (Winfuture,
11.6.2017 )
ZITAT
Leider hat ein Ex-Administrator alle Kundendaten gelöscht und die
meisten Server eliminiert. Aus diesem Grund haben wir alle notwendigen
Schritte eingeleitet und unser Netzwerk offline genommen. Wir haben hart
daran gearbeitet, die Daten wiederherzustellen, aber es war uns nicht
möglich alle Daten zu retten, die so verloren gingen.
ZITATENDE
Teilweise sind
"Outsourcing"-äquivalente Absichten bereits Teil der Bedingungen des
Energieliefervertrages bei Netz-Burgenland.
Abschnitt 7 unserer
Vertragsbestätigung beinhaltet eine Liste von Firmen, die alle vom
Stromlieferant mit unseren persönlichen Daten versorgt werden. Dieser
Vorgang kann erst durch unseren aktiven Widerspruch gestoppt werden.
Ohne diesen Einspruch
ist die Verwendung unserer persönlichen Daten sogar nach Beendigung des
Liefervertrages Bestandteil der Marketingstrategie.
EXTERNE ANALYSE DER INTIMSPHÄRE - "AUGMENTED REALITY"
Wir geben keine Erlaubnis, den digitalen
Fingerabdruck des Inbegriffs unserer spezifischen Lebensweise mit
technischer Hilfe eines Smart-Meters "abzuzweigen" oder abzufangen und
in einer übertragungsfähigen Digitalform (z.B.System Powerline, u.ä.)
einer Datenbank zuzuführen, um es zu ermöglichen, zu welchen Zwecken
auch immer, die statistische Bandbreite unserer Lebensweise im Umgang
mit der gelieferten Ware "Strom" anzuzeigen und zu analysieren. Wir
lehnen es ab, "gläserner Kunde" zu werden und in
einer Art "Augmented Reality" auf der digitalen Bühne einer
Bewertungsmatrix als gestalkte Hauptdarsteller zu agieren.
Auch die erwähnte
"unintelligent"-Schaltung würde ungesetzlich sein. Abgesehen davon,
dass, vom Gesichtspunkt der Informatik aus, mit der
Abschaltung bloß einiger Funktionen ein softwaregesteuertes Digitalgerät
gar nicht "unintelligent" wird, zeigt die Situation, analog
zur OGH Entscheidung (6 Ob 6/06k), dass Überwachungsvorrichtungen auch als
Attrappen, also "unintelligente Geräte
par excellence", dem folglich viele oder sogar alle Funktionalitäten fehlen, nicht
erlaubt sind. Üblicherweise sind Grundrechte
geregelte Ansprüche zwischen einem Bürger und dem Staat, regeln aber
auch das Verhältnis von Bürgern und Institutionen untereinander.
Allein die Möglichkeit,
Überwachungsabläufe zur Verfügung zu haben, implizieren einen ständigen
Überwachungsdruck auf uns und ist nach OGH in der Entscheidung
6 Ob 2401/96y eine
Gesetzesverletzung.
Aus den Bestimmungen des
§ 16 ABGB und Art 8 EMRK
leiten wir unseren Anspruch an den
Stromlieferanten ab, dass er unsere Persönlichkeit als Grundrecht und
das angeborene Persönlichkeitsrecht auf Achtung unseres Privatbereichs
und Geheimsphäre im Umgang mit der Ware "Strom" beachtet.
Das mit unserem Stromkonsum digital
erzeugte Verbrauchsmuster unterliegt, gleich den Video- oder
Fotoaufnahmen, unserem persönlichen "Copyright" oder Besitzrecht und die
von uns nicht autorisierte Verwendung widerspricht dem Datenschutz der
Charta der Europäischen Union. Unsere Konsumationskonvention
geht Netz-Burgenland nichts an. Wir lehnen einen "intelligenten Zähler"
ab. Der zur Zeit installierte analoge Zähler unterstützt unser
Grundrecht der Charta der Europäischen Union auf Schutz und Achtung des
Privatlebens und Datenschutz. Netz-Burgenland ist gesetzlich
verpflichtet das zu akzeptieren.
Darüber hinaus haben wir keinen Einfluss
oder Kontrolle auf das im Hintergrund tatsächlich ablaufende,
softwaregesteuerte, Digitalverfahren. Der 2015 öffentlich gewordene
Abgasskandal der Fa.Volkswagen zeigte deutlich, dass die vereinbarten
und publizierten Digitalroutinen durch spezielle Programmierbefehle
umgangen werden können.
Das
schliesst auch den unvermeidlichen periodischen Support ein, das in
unserem Privatbereich (Eigenheim, Wohnung, etc.) installierte
intelligente Messgerät mit Updates fernzuwarten, wofür wir keine
Kompetenz haben und nicht Features ablehnen dürfen, wenn sie unsere
Grundrechtsansprüche verletzen oder andere nachteilige Algorithmen
installieren. Dies administriert ausschließlich der Netzbetreiber.
Ein prägnantes
Beispiel lieferte auch die Firma Microsoft. Das
Fachmagazin
Winfuture, 11.7.2016 schrieb darüber und
stellte klar fest, dass entgegen dem Userbefehl, ein Upgrade auf die
nächst höhere Windowsversion nicht durchzuführen, im Hintergrund eine
ganz andere Befehlsstruktur ablief und eine Installation trotzdem
durchführte, mit fatalen Folgen bis hin zu Datenverlust am jeweiligen
PC. Dieser Zwang rief sogar die US-Staatsanwaltschaft auf den Plan:
ZITAT
Windows 10: US-Staatsanwalt prüft
Verfahren wegen Upgrade-Zwang.
(...)
Angeblich werden auch in einigen
anderen US-Bundesstaaten derzeit ähnliche Verfahren geprüft. Hintergrund
ist, dass Microsoft in den letzten Monaten immer wieder mit
verschiedenen Maßnahmen versuchte, die Nutzer älterer Windows-Versionen
zum Upgrade auf Windows 10 zu bewegen. Teilweise trug dies fragwürdige
Früchte, denn zum Beispiel verhielt sich die "Get-Windows-10-App" nicht
wie von manchen Nutzern erwartet. Statt das Upgrade durch das Schließen
des Angebotsfensters zu stoppen, wurde einfach nur die Anwendung
geschlossen, während der jeweilige Rechner dann doch zeitnah auf Windows
10 aktualisiert wurde.
(...)
ZITATENDE
Auch in der BRD hatte die Verbraucherzentrale
Baden-Württemberg gegen die "hintergründige Upgrade-Routine", die ohne
die Zustimmung des Users erfolgte, geklagt. Um einem Prozeß
zuvorzukommen, gab Microsoft rechtzeitig eine Unterlassungserklärung ab.
(Fachmagazin
Winfuture, 22.8.2017)
Betreffend die so genannte
"unintelligent"-Programmierung" des Smart-Meter, haben wir unsere
Meinung über korrumpierte Software bereits beschrieben. Welche Routinen
im "Hintergrund" tatsächlich ablaufen können und welche Kluft zwischen
vereinbartem Datenfluss und Realität herrscht, haben
die Fa.Volkswagen und andere deutlich
demonstriert.
Solche "Hintertüren" sind in
der IT‑Branche allgemein bekannt. Egal ob
Smart-Zähler der Marke KAIFA aus China, Landis & Gyr (im Burgenland
Modell E450), Kamstrup aus Dänemark, Endinet/Alliander aus Holland,
uva., auch bei ihnen wären solche Krypto-Features mit "Hintertüren" nur
eine Sache der Softwareentwickler und deren Auftraggeber.
Dazu ein Beispiel aus der
IT-Fachpresse (Winfuture
22.12.2015), das wegen dem allgemeinen
"Angriff" auf verschlüsselte Kommunikation" auch den Bereich der
verschlüsselten Energieversorgerkommunikation betreffen kann:
Das britische Parlament erarbeitet
(Dez.2015) die "Investigatory Powers Bill". Gemäß diesem Gesetz sollen
alle Anbieter verschlüsselter Kommunikation gezwungen werden,
"Hintertüren" einzubauen, um Zugriff auf die Inhalte zu bekommen - alles
mit der Begründung, den Terrorismus zu bekämpfen. Vorerst hat sich
einzig die Fa.Apple massiv in die britische Politik eingeschaltet, um
diese Verordnung zu verhindern. Dazu einige Zitate aus der
Pressemeldung:
ZITATANFANG (auszugsweise)
"Ein entsprechendes Gesetz würde die
Sicherheit von hunderten Millionen von Nutzern gefährden, um gegen
einige wenige schwarze Schafe vorgehen zu können, denen vielfältige
andere Möglichkeiten zur Verfügung stünden, argumentiert Apple in der Stellungnahme, die der irischen Tageszeitung
Independent vorliegt.
Kriminelle finden
ihren Weg.
Auch die fähigsten
Köpfe der Welt könnten die Gesetze der Mathematik nicht umschreiben",
erklärt Apple den Parlamentariern. Im Endeffekt würde die Sicherheit der
Kommunikation insgesamt abgesenkt. "Die jüngste Geschichte ist voll von
Fällen, in denen Angreifer erfolgreich Exploits implementierten, an die
fast kein Experte dachte oder die als höchstens theoretisches Problem
angesehen wurden", heißt es in der Stellungnahme. Gefährdet würden so
nicht nur die unzähligen einfachen Nutzer, sondern auch die europäische
Wirtschaft, die ebenso auf eine sichere Kommunikation angewiesen sei."
ZITATENDE
Eine weitere
Pressemeldung des IT-Fachmagazins
Winfuture
15.7.2016 nimmt auf das "Schnüffelgesetz"
Bezug:
"Die britische Regierung hat jetzt in
einer Debatte im House of Lords bestätigt, dass die geplanten
Gesetzesänderungen für die Investigatory Powers Bill, auch bekannt als
"Snooper's Charter" oder Schnüffelgesetz, alle Ministerien legitimiert,
Ende-zu-Ende-Verschlüsselungen aufzuheben.
Gemeint ist damit, dass das
umstrittene Überwachungsgesetz künftig Provider dazu verpflichten will,
eine Hintertür einzubauen, mit der nachträglich Verschlüsselungen in
Kommunikation und Datenspeicherung wieder aufgehoben werden können.
Großbritannien
(verlangt) nun entweder den Verzicht auf Verschlüsselung oder
erwartet, dass Anbieter Datenverschlüsselung mit einem Masterkey
versehen."
Wir wollen damit sagen, dass wegen
solcher "Hintertüren" zugesagte Funktionsbegrenzungen weder am Display
des Smart-Meters angezeigt und somit dem Kunden verborgen bleiben, noch
mit der effektiven, internen Softwareroutine identisch sein müssen!
Mit einer Metapher veranschaulicht,
kann eine so genannte "unintelligent"-Programmierung des Smart-Meters
mit einer Mutter verglichen werden, die für ihr Kind Milch kauft und in
der Liste der Inhaltsstoffe einiges entdeckt, das sie ihrem Kleinen
nicht geben will. Den Verkäufer darauf angesprochen, streicht er bloß
mit einem Filzstift die Angaben auf der Verpackung aus. Waren die
Inhaltsstoffe falsch aufgedruckt, hat die Streichung keinen Nachteil.
Sind sie aber noch immer vorhanden, ist die Filzstiftaktion eine
gefährliche Kundentäuschung.
Gleich einer Mutter, die weder
qualifiziert ist noch die Möglichkeit hat, Milchbestandteile zu prüfen,
können auch wir den "Inhalt" (=Background Digitalroutinen) des
Smart-Meters nicht kontrollieren. So wie sie mit dieser
"Filzstiftaktion" getäuscht werden kann, muss auch das Display des
Smart-Meters nicht alles preisgeben und können "hintergründig verdeckte"
Digitalroutinen aktiviert sein. Die "Hintertüren" wären nur für den
Energieversorger offen, nicht für den Kunden.
Diese Täuschung wird auch von
Kriminellen angewendet. Man nennt sie "Spoofing". Z.B. kann die
Anruferkennung am Display des Telefons so manipuliert werden, dass dem
Angerufenen eine völlig andere, aber vertrauenswürdige Telefonnummer
angezeigt wird, jedoch im Hintergrund gemeine Abzocker lauern. Der
ORF
berichtete am 24.Sep.2016 über eine solche
gigantische Spoofing-Attacke in Österreich. Diese Angriffe sind immer
häufiger und richten enormen finanziellen Schaden an. Am 27.1.2017 mußte sogar die
Österreichische Nationalbank eine Warnung veröffentlichen, weil
Cyberkriminelle mittels Caller ID-Spoofing in ihrem Namen mit der
Sperre des Kontos drohten und die Telefonnummer eines namhaften Wiener
Anwaltes missbrauchten (Der
Standard)
Solche kriminellen Aktionen sind nur mit "intelligenten"
Digitalstrukturen möglich. Ähnliches kann auch dem intelligenten
Messgerät widerfahren, indem hintergründig digitale Algorithmen
ablaufen, ohne dass der Endverbraucher am Display eine Information
bekommt.
Der Eingriff in die intelligente Gerätesteuerung um das Smart-Meter
angeblich mit eingeschränkter Funktion seine Arbeit leisten zu lassen,
die am Display angezeigt werden soll, kann mit der Software gewollt auch
so ablaufen, wie das Löschen einer digitalen Datei. Dieser Vorgang
löscht nicht wirklich, weder am PC noch in der Cloud oder beim Provider
oder sonst wo. Die Daten sind weiterhin vorhanden, entweder
gekennzeichnet als eigener Datensektor oder mit spezieller Software
verfügbar.
Dieser
"Täuschungsvorgang" wurde der Firma Yahoo zum Verhängnis. Ein User hatte
bei diesem Provider alle seine Mails gelöscht. Da er wegen Drogendelikte
ins Visier der Ermittler kam, fragten die Behörden Yahoo, ob der
Mailverkehr wieder hergestellt werden kann. Das war möglich! Jetzt wurde
die Justiz erst recht hellhörig. Eine Richterin im US-Bundesstaat
Kalifornien hat den Konzern aufgefordert zu erklären, wie Yahoo den
E-Mailverkehr eines Angeklagten wiederherstellen konnte, den er nach
seinen Angaben selbst gelöscht hat (Fachmagazin Winfuture
24.7.2016)
Der Yahoo-Skandal
bekam noch eine weitere Dimension. Das Unternehmen wurde 1995 gegründet.
2016 gab ein Journalist der Agentur Reuter seine Rechercheergebnisse
bekannt, dass Yahoo in all den Jahren sämtliche E-Mail-Inhalte von Usern
dieses Dienstes an amerikanische Behörden weitergab (Winfuture News 5. Okt.2016, siehe auch Reaktion von
Yahoo in
Die Presse, 6.10.2016) Beim Smart-Meter können unbegrenzt im Hintergrund
Digitalroutinen oder administratorenrechtliche Prozesse ablaufen, die den Kunden am Display nicht
angezeigt werden. Wohl aber dem Monitoring des Netzbetreibers zur
Verfügung stehen!
Ferner könnte beim Smart-Meter über
die Fernverbindung jederzeit, die von Netz-Burgenland so bezeichnete
"unintelligent"-Schaltung (=digitale Funktionsreduktion) umgangen, und
für den Kunden unbemerkt, genau der "Daten-Spionage"-Ablauf eingeleitet
werden, der eigentlich verhindert werden sollte. Das heißt, der
Trick läge im reduzierten Kunden-Monitoring, während der
Energieversorger die totale Datenkontrolle behält. Über die
Möglichkeit einer "anpassbaren" Displayanzeige schrieben wir bereits im
Kapitel "Semantik & Rabulistik (mit Grafik), dass die "intelligente" Qualifikation für eine
"Display-Modifizierung" explizit im
technischen Datenblatt des
Smart-Meter Landis & Gyr E450, Seite 4, beworben wird: "Customized
messages can be shown on the meter display"
PERSONENBEZOGENE DATEN
Als weiteren schweren Angriff auf unsere
Datenschutzrechte werten wir den Umgang des Netzbetreibers mit den "personenbezogenen
Daten". Jeder Zähler muss mit der Zählerstandsübermittlung auch
eine eindeutig zuzuordnende Identitätskennung senden, sonst könne die
Rechnung über die verbrauchte Strommenge, die Abrechnung nach
individuellem Tarif, uva. nicht abgestimmt werden. Diese stellen
eindeutig die im EU‑Recht und im Recht des Europarates erwähnten
"personenbezogenen Daten" dar, weil sie "definierte Informationen
über eine bestimmte oder bestimmbare natürliche Person" sind.
Die mit dieser Fernabfrage gelieferten
digitalen Werte senden aber gleichzeitig mit diesem Datenpaket aus Bits
und Bytes auch das in unserem Schreiben erwähnte digital gespeicherte
"Verbrauchsmuster" und erlauben deshalb die eindeutige Zuordnung. Der
"Spionage-Vorgang" ist perfekt abgestimmt!
"Für die Anwendbarkeit des
europäischen Datenschutzes ist jedoch keine aufwändige Bestimmung der
betroffenen Person erforderlich, es reicht aus, dass die betroffene
Person bestimmbar ist. Als bestimmbar wird eine Person angesehen, wenn
eine Information Elemente enthält, mit denen die Person direkt oder
indirekt identifiziert werden kann". (Datenschutzrichtlinie, Artikel 2
Buchstabe a) "Personenbezogene Daten sind alle Informationen über das
Privatleben einer Person".
"Die Form, in der personenbezogene
Daten gespeichert oder verwendet werden, ist für die Anwendbarkeit des
Datenschutzrechts unerheblich. Schriftliche oder gesprochene
Kommunikation kann personenbezogene Daten genauso wie Bilder
einschließlich Bilder von Videoüberwachungsanlagen (CCTV) oder Ton
enthalten."
"Elektronisch
gespeicherte Informationen sowie
Informationen auf Papier können personenbezogene Daten sein; selbst
Zellproben menschlichen Gewebes können personenbezogene Daten sein, da
sie Auskunft über die DNS einer Person geben".
"Erst
vollständig anonymisierte Daten (NICHT pseudonymisierte Daten) sind
keine personenbezogenen Daten. "Daten sind anonymisiert, wenn aus
einem Satz personenbezogener Daten alle identifizierenden Elemente
entfernt wurden. Es darf in den Informationen kein Element verbleiben,
das dazu dienen könnte, unter zumutbaren Anstrengungen die
betreffende(n) Person(en) erneut zu identifizieren. Wurden Daten
erfolgreich anonymisiert, gelten sie nicht mehr als personenbezogene
Daten."
(Auszüge aus
dem
Handbuch zum europäischen Datenschutzrecht
Seiten 45-47)
Ein solches Verfahren ist für die
Stromverbrauchsabrechnung nicht nützlich, weil mangels
Identifizierungsmöglichkeit eine Verbrauchsabrechnung nicht eindeutig
zuzuordnen ist. Allerdings ist die Anonymisierung ein optimaler
Datenschutz. Eine Verbrauchsprofilerstellung ist zwar möglich, aber
niemand zuzuordnen. Die Intim- und Privatsphäre würde geschützt sein.
Somit bliebe nur das Verfahren,
Daten zu pseudonymisieren. Personenbezogene Informationen
enthalten Kennzeichen wie Name, Adresse, (vielleicht auch Geburtsdatum,
Geschlecht uva.). Bei der Pseudonymisierung personenbezogener
Informationen werden die Kennzeichen durch ein Pseudonym ersetzt.
Pseudonymisiert wird, zum Beispiel, durch Verschlüsselung der
Kennzeichen in personenbezogenen Daten. (Handbuch
zum europäischen Datenschutzrecht Seite 48)
Hier ist der Datenschutz
äusserts fraglich bis existenzgefährdend. Nach wie vor würde der gesamte
"Fingerabdruck" unseres privaten und individuellen Umganges mit der Ware
"Strom" Teil einer softwaregestützen, statistischen Auswertung aus der
Datenbank des Netzbetreibers möglich sein und jederzeit Einblick in
unsere Intimsphäre gewähren, indem, je nach Art der Pseudonymisierung,
Zugangsberechtigung, Kompetenz, Auftrag, Outsourcing, usw., aber auch
durch unerlaubte, eventuell kriminelle Energie, einzelne oder mehrere
Personen Einblick in unsere inhärente Lebensgestaltung haben und
erfahren, ob wir eventuell für länger Zeit unseren Wohnsitz
verlassen haben. Letzteres ist sogar äußerst kritisch, sollte
ein Vermieter oder eine Versicherer an solche Informationen gelangen,
weil Verträge oftmals ab einer gewissen Absenz Sanktionen auslösen. Ein solcher Fall von digitaler
Überwachung der An- und Abwesenheit am Wohnobjekt wurde z.B. in Wien
gerichtsanhängig (Tagesjournal
Heute 26.Aug.2016)
Von intelligenten Messgeräten detektierte und
fernübertragenene Digitalinformationspakete geben auch Auskunft über den
verwendeten Geräte- oder Maschinenpark. Sie beinhalten lastspezifisch
verifizierbare Details über Nutzungsdauer und -aufwand und lassen
forensisch unterstützte Analysen zu, ob beispielsweise eine Wohnung
gewerblich genutzt wird und umgekehrt, ob ein Gewerbeobjet für
Wohnzwecke benützt wird. Auch solche Einzelheiten können einen
Endverbraucher in Schwierigkeiten bringen.
Der
ORF-Report
brachte am 18.Okt.2016 einen Bericht über
finanzielle Probleme einiger Gemeinden mit Zweitwohnsitzen. Ein
Bürgermeister sagte dem Reportageteam, dass er, außer über eine Detektei
die An-und Abwesenheit der betreffenden Personen auch über die
Stromverbrauchskonventionen durch den Energieversorger feststellen lasst
(ORF-Mediathek,
Salzburger Nachrishten) Tatsächlich würde, falls ein Smart-Meter
installiert ist, aus den übertragenen Datenpaketen und einer
Bewertungsmatrix ein lückenloses Profil, datum- und stundengenau, den
Immobilienbesitzer in schwere Bedrängnis bringen.
In der gleichen ORF-Reportage wurde allerdings auch gezeigt, dass ein
anderer Bürgermeister, der die gleiche Absicht verfolgte, durch eine
oberstgerichtliche Entscheidung aus datenschutzrechtlichen Gründen daran
gehindert wurde.
CYBERATTACKEN
Angesichts des
immer mehr um sich greifenden Cyber-Terrorismus bieten flächendeckend,
europaweit eingeführte "intelligente Messgeräte" genügend Potenzial, mit
ferngesteuerten Eingriffen über korrumpierte Software oder
Netzstrukturen ganze Landstriche von der Energieversorgung abzukoppeln und sowohl
Energielieferanten als auch Kunden erpressbar zu machen. Zum Beispiel
schilderte der A1-Technik-Chef Marcus Grausam März 2016 die Hintergründe
der Erpressung durch Cyber-Gangster um 100.000 Euro, dann erhöhten sie
die Forderungen immer weiter und drohten, das A1-Netz dauerhaft lahm zu
legen. Er sprach aus Erfahrung wenn er weiter sagte, "die
Hacker-Angriffe, die aus China, einzelnen Ostländern und Deutschland
kommen, können die Energie-, Wasser-und Gesundheitsversorgung
gefährden." (Österreich
News/OE24)
Als Folge schwerer
politischer Kontroversen könnten die Fernsteuermechanismen ebenfalls
dazu benützt werden, Kunden von der Energieversorgung zu trennen (was
z.B. im Russland-Ukraine-Konflikt passierte).
Am 26.7.2016
brachte
ZDF-Frontal21 einen Report mit den Details
dieses Cyberangriffs (ZDF-Mediathek), der die westukrainische Stadt Iwano-Frankiwsk betraf.
Russische Hacker hatten mit einem Zugriff auf die Zentralsteuerung der
Stromversorgung einen totalen "Black-Out" verursacht. Dieser war
weltweit der erste Vorfall und hatte die Netzbetreiber - trotz massiver
Sicherheitsvorkehrungen - überrascht. Die Experten mussten tatenlos
zusehen, wie auf ihren Monitoren an der Lastverteilermatrix "wie von
Geisterhand" mit dem Mauszeiger ein Schalter nach dem anderen auf "Aus"
gestellt wurde. Ein Video zu diesem Angriff dokumentiert den
Augenblick des fremden Eingriffs (ORIGINALVIDEO
des Cyberangriffs,
Dokumentation des verheerenden Cyberangriffs auf das Smart-Grid in der
Ukraine – Futurezone,
23.6.2017,
Wissenschaftsmagazin Wired,
Wissenschaftsmagazin Wired zweiter Artikel,
Russisches KnowHow für die Smart-Grid-Attacke)
Forscher der
Sicherheitsfirma Eset fanden nach einer gründlichen Analyse der
Schadsoftware ("Industroyer"), dass damit die größte Bedrohung für
kritische Infrastruktur von Energieversorger seit Stuxnet eingeleitet
wurde.
ZITAT
Auch die Entwicklung von Industroyer sei so aufwendig gewesen, dass die
Forscher dahinter staatliche Stellen vermuten. Mit der Malware können
Angreifer Anlagen steuern, überlasten, Schalter umlegen oder die
Versorgung ganz ausschalten. Die Forscher gehen davon aus, dass der
Stromausfall in der Ukraine Ende 2016 nur eine Art Demonstration war und
weitere Angriffe folgen könnten.
ZITATENDE ( Heute.
19.62017) Siehe auch unter NEWS/Juni 2017
Der ZDF-Report widmete
sich auch dem unvorstellbaren Umfang der Cyberattacken allein auf
Einrichtungen der BRD. Die zugehörige Website schrieb:
"Auch das Datennetz der
Bundesregierung wird nach Auskunft des Bundesamtes für Sicherheit in der
Informationstechnologie (BSI) täglich angegriffen, rund 1,8 Millionen
Mal pro Jahr. Etwa jeden zweiten Tag erfolge ein gezielter
geheimdienstlicher Cyberangriff auf das Regierungsnetz, erklärte dazu
das BSI. Hinter dem Angriff auf das IT-Netz des Bundestages im Frühjahr
2015 sollen russische Hacker gesteckt haben. Diesen Verdacht bestätigt
der Präsident des Bundesamtes für Verfassungsschutz, Hans-Georg Maaßen,
gegenüber Frontal21. Die unter den Namen "Pawn Storm" oder "Sofacy"
bekannt gewordene russische Hackergruppe soll laut Maaßen auch die
Energieversorgung der westukrainischen Stadt Ivano-Frankivsk im Dezember
2015 angegriffen haben."
Tomi Engel, Informatiker
der Uni-Erlangen, beschrieb in seiner Expertise die Anfälligkeit der
Smart-Meter für Cyberangriffe und die zusätzlich latente
Bedrohung der Stromkunden durch ferngesteuertes, vom Netzbetreiber
impliziertes "disconnect relay" (zitiert bei
SFV Solarenergie Förderverein Deutschland eV)
Am 22.Sep.2016 eröffnete der
Vizepräsident des Bundesamts für den Verfassungsschutz der BRD die "Internet Security Days 2016". Auf dieser internationalen Konferenz, die von vielen
namhaften IT Sicherheitsspezialisten aus Regierungskreisen und privaten
Firmen besucht wurde, hatte auch der völlig unerwartete und allen
Sicherheitsvorkehrungen trotzende Cyberangriff auf die ukrainische
Energieversorgung eine Diskussionsplattform. Der VS-Vize Thomas
Haldenwang sagte, dass…
"… es mit dem Internet eine ähnliche
Entwicklung geben könne wie mit der Kernenergie. Auch von der seien zu
Anfang nur die positiven Aspekte gesehen worden, nicht die Risiken."
Die Konferenz war begleitet von
Detailanalysen einzelner Cybercrime-Attacken über Identitätsdiebstahl
bis zur Smart-Home- und Smart-Fabric-Angreifbarkeit. Damit wollen wir
zeigen, dass die von der österreichischen E-Wirtschaft publizierte
Sicherheitsbeteuerung gegenwärtig keine reale
Sicherheit bieten kann und man mit der Montage und Inbetriebnahme eines
intelligenten Messgerätes (Smart-Meter) die Endverbraucher wie auf einem
"digitalen Minenfeld permanent Cybercrimeattacken aussetzt".
Die österreichische
Tageszeitung
Krone 11.7.2016 veröffentlichte einen
eindringlichen Warnhinweis unter Berufung auf eines der größten
Sicherheitsunternehmen, Kaspersky:
"Kaspersky warnt:
Elektrizitäts- und
Wasserwerke von Hackern bedroht
Mit dem Internet der
Dinge nehmen auch immer mehr industrielle Kontrollsysteme - etwa in
Wasser- oder Elektrizitätswerken - Kontakt zum Internet auf. Damit
wachse aber auch die Gefahr von Cyberattacken, warnen Virenjäger von
Kaspersky. Je größer die Infrastrukturen seien, desto größer sei das
Risiko empfindlicher Sicherheitslücken, sagte Andrey Suvorov von
Kaspersky Lab.
Das Unternehmen hat
zu der Problematik eine weltweite Studie durchgeführt. Demnach sind
aktuell über 220.000 Komponenten von industriellen Kontrollsystemen über
das Netz weltweit verfügbar.
91,6 Prozent der
Systeme nutzen unsichere Internetverbindungsprotokolle, die Angreifer
für Attacken oder die Möglichkeit der Fernsteuerung ausnutzen könnten.
In den vergangenen fünf Jahren seien Schwachstellen innerhalb von
Industriekomponenten um das zehnfache gestiegen.
Attacken auf
Elektrizitäts- und Wasserwerke
Dass die Gefahr real
sei, hätten in den vergangenen Jahren mehrere Vorfälle gezeigt. So
hätten 2015 Cyber- Angreifer in der Ukraine mit einer Attacke auf ein
Elektrizitätswerk rund die Hälfte der Haushalte in der Region vom Strom
gekappt.
Zuletzt waren
Unbekannte laut eines Sicherheits- Reports des US- amerikanischen
Telekom-Riesen Verizon vom März in die Systeme eines namentlich nicht
genannten Wasserwerks gelangt und manipulierten dort die chemische
Zusammensetzung des Leitungswassers."
Das Fachmagazin
Winfuture
15.7.2016 veröffentlichte das brisante
Ergebnis einer Sicherheitsstudie über ungeschützte Steuerungssystem bei
deutschen Energieversorgern:
"Wegen "unzureichender
Sicherheits-Konfigurationen" war es zwei deutschen Sicherheitsforschern
möglich, sich in die Steuersysteme von Blockheizkraftwerken und
Wasserwerken in Deutschland einzuklinken.
(...) Wie die beiden IT-Experten
betonen, sei es über diese Zugänge mit relativ geringem Aufwand möglich
gewesen, nicht nur eine unbemerkte Überwachung durchzuführen, sondern
auch eine Manipulation der Steuerung zu erreichen.
(...) Das IT-Sicherheitsunternehmen
Kaspersky hatte ebenfalls erst in dieser Woche in einem eigenen Bericht
darauf hingewiesen, dass in Deutschland mehr als 26.000 Rechner mit
Steuerungssoftware frei über das Netz erreichbar sind und vor allem in
den Bereichen Energie (...)"
In Spanien gelang es
Hackern ohne große Mühe die Firmware eines
äquivalenten Smart-Meters zu extrahierten und
einen identischen Schlüssel mit symmetrischem AES mit einer Länge von
128‑Bit zu verwenden. Ein einziger Stromzähler
reichte, um sich Zutritt auf das gesamte Netzwerk zu verschaffen. Mit
einem entsprechend ausgestatteten mobilen Gerät könnten Angreifer jeden
beliebigen Haushalt angreifen, in dem sie es in der Nähe ans Netz
hängen. Dazu ist nicht einmal ein Hackerangriff gegen die Zentrale des
Energieversorgers nötig.
(aus "Der
Standard.at")
Auf einer der letzten
Hacker-Konferenzen DefCon demonstrierte eine Team, wie es allein
über den Monitor die volle Kontrolle über die internen Digitalprozesse
erlangte und die Displayanzeige dem Betrachter keinen Hinweis über die
im Hintergrund
ablaufenden, fremdgesteuerten Algorithmen, preisgab (Winfuture 8.August 2016). Die Nachricht schließt mit der Feststellung:
"Wenn aber beispielsweise an Rechnern
im Industrie-Bereich falsche Werte wiedergegeben werden oder
Warnanzeigen erscheinen, kann das eigentlich nicht nötige Reaktionen des
Personals zur Folge haben, die große Schäden anrichten. "Kann ich dich
dazu bringen, dein Kraftwerk herunterzufahren? Klar kann ich das", so
Ang Cui, Leiter des Forscherteams, das bei der Firma Red Balloon
Security angesiedelt ist."
Bei einer
Liberalisierung der Messdatenverwaltung und deren softwaregestützter
Auswertung des persönlichen und intimen Verbrauchsverhaltens im
Outsourcingbereich sind ungesetzlichen Eingriffen in unsere
schutzwürdigen Persönlichkeitsrechte alle Türen offen, weil
unüberschaubare Angriffe auf Kontrollmechanismen dem
Verantwortungsbereich des Netzbetreibers entgleiten werden. Ausreden auf
bestehende, aber nicht greifende oder nicht aktualisierte
Datenschutzgesetze und Schuldzuweisungen werden die Folge sein und
können in den meisten Fällen überhaupt nicht exekutiert werden, weil die
digitalen Aggressoren sich hauptsächlich in einem Rechtsraum befinden,
für den unsere Daten- und Networkschutzbestimmungen das Papier nicht
wert sind, auf dem sie geschrieben wurden und die strafrechtliche
Verfolgung und Rechtshilfeverkehr oft an den Landesgrenzen endet oder in
Staaten ausgeweitet werden müsste, mit denen keine Abkommen bestehen..
Alle diese Probleme
sind nur die Folgen intelligent kooperierender Netzstrukturen mit
Einbindung intelligenter Messgeräte. Der analoge (Ferraris-Zähler) ist
davon nicht, oder sehr wenig betroffen und bietet den Endverbrauchern
die derzeit höchstmögliche Sicherheit.
Die Montage und Inbetriebnahme eines
Smart-Meters zum Zwecke einer
Zählerstandsabfrage wegen Kostenerstellung
ist ein äußerst risikobehafteter Vorwand, der uns
permanent Cyberattacken aussetzt. Sollten daher Netzbetreiber und
E-Control bei der Projektabwicklung ihre offensichtlich stümperhafte
Risikobewertung nicht einer Neuevaluierung unterziehen?
WAS
HABEN SMART-METER UND KEYLOGGER GEMEINSAM?
Mit einigen Ausnahmen werden Keylogger meist kriminell
eingesetzt und mit Malware installiert. Keylogger beinhalten speziell
programmierte Algorithmen um im Anwendungsbereich "jeden Tastenanschlag
(am PC)" zu detektieren. Das ermöglicht einen "Angreifer" nicht nur
Eingaben (z.B. Passwörter) abzugreifen, sondern ein detailliertes Profil
des Users über sämtliche Programmstarts, Dateneingaben, Kommunikationen,
uva. anzulegen. Die protokollierte PC-Nutzung vermittelt dem "Spion"
durch kausale Zeitstempel gleichzeitig wann und wie lange er den PC
nutzte. Das impliziert folglich, dass auch seine Anwesenheit
dokumentiert wird.
Und Smart-Meter?
Sie werden nicht "kriminell" eingesetzt. Liefern aber im digitalen
Segment gleiche bis ähnliche Resultate. Die obige Definition kann
folglich als "Schablone" genützt mit angepassten Begriffen modifiziert
werden:
Smart-Meter beinhalten speziell programmierte Algorithmen um im
Anwendungsbereich jedes Strom verbrauchende Gerät zu detektieren. Das
ermöglicht den Netzbetreiber nicht nur die Einschaltzeit,
Benützungsdauer und Ausschaltzeit zu ermitteln, sondern ein
detailliertes Profil des Endverbrauchers über sämtliche
Anwendungskonventionen mit der gelieferten Ware "Strom" zu
protokollieren und zeitnah die An- und Abwesenheit am Zählpunkt des
montierten intelligenten Messgerätes festzustellen. Die bidirektional
übertragenen, digitalen Datenpakete geben tiefe Einblicke in die
Privatsphäre und lassen mit forensischer Analyse noch viel mehr in den
Intimbereich eindringen.
Gegen den Einsatz von Keyloggern zur Überwachung (im konkreten Fall von
Dienstnehmern durch den Dienstgeber) wurde in der BRD vom
Bundesarbeitsgericht ein Urteil gefällt:
ZITAT
"Das Bundesarbeitsgericht stellte fest, dass die Beklagte, also der
Arbeitgeber, durch "dessen Einsatz das als Teil des allgemeinen
Persönlichkeitsrechts gewährleistete Recht des Klägers auf
informationelle Selbstbestimmung verletzt habe". Ein Einsatz von
Keyloggern und vergleichbarer Software ist nur dann zulässig, wenn ein
"auf Tatsachen" beruhender Verdacht einer Straftat oder einer anderen
schwerwiegenden Pflichtverletzung vorliegt. "Die von ihr 'ins Blaue
hinein' veranlasste Maßnahme war daher unverhältnismäßig", so das
Gericht."
ZITATENDE
Ist die eigentliche Begründung, die hinter dieser Entscheidung steht,
nicht auch gegen intelligente Messgeräte anwendbar?
Die im Urteil erwähnte Verletzung der "informationellen
Selbstbestimmung" ist exakt das, was auch der Benützung
"intelligenter Messgeräte" mit dem bidirektionalen Kommunikationsmodul
samt Gateway zugrunde liegt. Wäre die Übermittlung "keylogger-adäquater"
Parameter, als untrennbares Beiprodukt der transferierten digitalen
Datenpakete beim Einsatz von "Smart-Metern" nicht ebenso
"unverhältnismäßig"?
Prof. Dr. Daniel Ennöckl, Institut für Staats- und Verwaltungsrecht
Uni Wien, erstellte Juli 2017 im Auftrag der Arbeiterkammer ein
Gutachten
Seine Expertise erhärtete den Verdacht, dass beim Betrieb von
intelligenten Messgeräten in diesem Punkt bereits eine "rechtliche
Grauzone" überschritten wird.
Einige Auszüge:
ZITAT
Seite 9
Für den Einsatz von Smart Metern folgt daraus, dass bereits das
Aufzeichnen und Speichern des Stromverbrauchs eines Haushaltes einen
(rechtfertigungsbedürftigen) Grundrechtseingriff darstellt, selbst wenn
die Daten nicht (täglich oder im 15-Minuten-Intervall) an den
Netzbetreiber übermittelt, sondern lediglich (als Monatsverbrauchswert)
„vor Ort“ im Messgerät gespeichert werden.
Seite 17
Zwischenergebnis
Die Bereitstellung von intelligenten Messgeräten gegen den Willen der
Betroffenen wäre als Verletzung des Grundrechts auf Geheimhaltung
personenbezogener Daten gemäß § 1 Abs. 1 DSG 2000 zu qualifizieren.
Seite 18
Das soeben dargestellte Zwischenergebnis bedeutet, dass jede/r
KonsumentIn die Möglichkeit haben muss, den Einsatz eines intelligenten
Stromzählers in seinem/ihrem Haushalt abzulehnen. Dies ist mit den
unionsrechtlichen Vorgaben auch so lange vereinbar, als die von der
Richtlinie geforderte Abdeckungsquote von 80 % nicht unterschritten wird
– was aufgrund der bisherigen Erfahrungen in der Praxis ohnedies nicht
zu erwarten ist.
Seite 23
Macht ein/e KonsumentIn von ihrem Recht, den Einsatz eines intelligenten
Messgerätes abzulehnen Gebrauch und werden vom Netzbetreiber dennoch
Daten über den im Vertrag vereinbarten Abrechnungsintervall hinaus
abgelesen und übermittelt, so ist das als eine rechtswidrige
Datenverwendung anzusehen
ZITATENDE
E-Control und Netzbetreiber werden sich mit Sicherheit solchen
Überlegungen verschliessen. Sie tun jetzt schon alles, entgegen
bundesgesetzlicher Verordnung (ElWOG idgF), eine 100%ge Installation und
Inbetriebnahme von intelligenten Messgeräten voranzutreiben. Aus unserem
Schriftverkehr mit den Institutionen wissen wir, dass die von Prof. Dr.
Daniel Ennöckl präzisierten Fakten nicht in deren Repertoir zu finden
sind. In den Werbungen für Smart-Meter sind ausschliesslich positive
Schilderungen. Die gesetzlich begründete Ablehnungsmöglichkeit eines
intelligenten Messgerätes wird raffiniert ausgelegt, indem man
behauptet, "man habe nur das Recht die Funktionalität abzulehnen, nicht
das Gerät selbst". Und "es entscheidet der Netzbetreiber, welches
Messgerät installiert und in Betrieb genommen wird".
DRUCK DURCH RECHTSBEUGUNG
Parallel zur Zählerstandsabfrage erlauben
Smart-Meter einen solchen fest implementierten digitalen
"Spionage"-Ablauf und können, falls deaktiviert, jederzeit
ferngesteuert, ohne Wissen des Kunden, wieder aktiviert werden. Ein
solches Gerät dürfen wir nach gesetzlichem Recht (ElWOG) ablehnen oder
mit unserer ausdrücklichen Einwilligung gestatten. Nach dem EU‑Recht
müssen drei Elemente gegeben sein, damit eine Einwilligung gültig ist,
mit denen gewährleistet werden soll, dass betroffene Personen der
Verwendung ihrer Daten auch wirklich zugestimmt haben:
Auf die betroffene Person darf
bei der Einwilligung kein Druck ausgeübt worden sein; die
betroffene Person muss angemessen über den Zweck und die
Konsequenzen der Einwilligung unterrichtet worden sein, und die
Einwilligung muss einen hinreichend konkreten Geltungsbereich haben.
Sind alle diese Anforderungen erfüllt, ist die Einwilligung im Sinne des
Datenschutzrechts gültig. (Handbuch
zum europäischen Datenschutzrecht Seite 61)
So wie sich Netz-Burgenland bisher uns gegenüber
verhielt, indem versucht wurde mit Absprache der Regulierungsbehörde
E‑Control Druck durch falsche Gesetzesauslegung auf uns
auszuüben, ist unsere Reaktion auch in der Phase strikter Ablehnung
gesetzeskonform. Das wird auch durch
Artikel
29‑Datenschutzgruppe (2011) zum Ausdruck
gebracht, wo geschrieben wird, dass eine Einwilligung ohne Zwang nur
dann vorliegt, „wenn die betroffene Person eine tatsächliche
Wahlmöglichkeit hat und kein Risiko einer Täuschung,
Einschüchterung, Nötigung oder beträchtlicher negativer Folgen besteht,
wenn sie die Einwilligung nicht erteilt“.
Ferner hat Netz-Burgenland mit der
Montagebegründung ausschließlich positive Aspekte betont und in keiner
einzigen Stellungnahme auch auf die vielen Risiken hingewiesen, die mit
der Installation und Inbetriebnahme eines Smart-Meter zusammenhängen.
Offensichtlich werden
Informationen, die nicht in das Geschäftsfeld mit flächendeckender
Smart-Meter-Montage passen vermieden oder Argumente passend gemacht. Kein einziger in unserem Schreiben
erwähnter Vorbehalt findet sich in den Statements von E-Control und des
Netzbetreibers zum Smart-Meter. Im Gegenteil! Netz-Burgenland machte
massiv Gebrauch von der Einschüchterung durch Rechtsbeugung und entzieht
uns die im ElWOG zugesicherte tatsächliche Wahlmöglichkeit,
ein Smart-Meter ablehnen zu dürfen.
Gemäß Artikel 8
Absatz 4 der Datenschutzrichtlinie
können die Mitgliedstaaten aus
Gründen eines wichtigen öffentlichen
Interesses weitere Zwecke vorsehen, für die
sensible Daten verarbeitet werden dürfen,
sofern die Verarbeitung der Daten aus Gründen eines
"wichtigen öffentlichen Interesses" erfolgt, und in einer nationalen
Rechtsvorschrift oder durch eine Entscheidung der Kontrollstelle
vorgesehen ist, und die nationale Rechtsvorschrift oder die Entscheidung
der Kontrollstelle die für den wirksamen Schutz der Interessen der
betroffenen Personen erforderlichen angemessenen Garantien enthält.
Diese Verordnung unterstützt mit keinem
Wort die Notwendigkeit, jeden einzelnen Haushalt mit einem Smart-Meter
zu detektieren, indem die, über die eigentliche
Zählerstandsabfrage hinausgehenden, intimen Verbrauchsprofil-Daten,
einer Datenbank zugeführt werden,
wo der gesamte "Fingerabdruck" des ureigenen,
individuellen, und jeden Tag neu strukturierten Verhaltensmuster
dokumentiert und auch der zeitliche Umfang der
An- und Abwesenheit in der Wohnumgebung als Teil der Vorlieben,
inhärenten Lebensgestaltung, des eigenartigen und einzigartigen, intimen
Privatlebens softwareunterstützt graphisch dargestellt werden
kann.
Hier besteht KEIN
"wichtiges öffentliches
Interesse" um Einblicke
in die Intimsphäre einzelner Haushalte zu
rechtfertigen.
|