Twee hackers zitten ’s avonds achter hun laptopje. Ze hebben het gemunt op de verlichting in de stad. Eerst moet het stadion er aan geloven. Dan dooft, met een simpele druk op de ‘enter’-knop, de verlichting op het vliegveld, gevolgd door de kantoorgebouwen. De jongens hebben de tijd van hun leven, totdat blijkt dat ze met z’n tweeën in de enige overgebleven verlichte ruimte van de stad zitten. Dan verschijnt de tekst in beeld: ‘…zeker Delta Lloyd’. “Erg ludiek, omdat dit nog onschuldige types zijn. Maar als ons elektriciteitsnet straks echt slim is, en op afstand bestuurbaar, wordt het een serieus doelwit voor terroristen.”

Door Tijdo van der Zee

Dat zegt Stephan Gerhager, Information Security Officer bij het Duitse energiebedrijf Eon -“en in mijn vrije tijd hou ik me graag bezig met hacken”. Gerhager toonde de commercial van Delta Lloyd woensdag op het congres Metering & Billing CRM Europe 2011 in de Rai in Amsterdam. Gerhager wil zijn toehoorders waarschuwen voor de slimme meter. “Wij hebben tot nu toe alle slimme meters weten te kraken die bij ons binnen kwamen. En dat waren er veel.”

De Tweede Kamer stemde vorig jaar in met de invoering van de slimme meter op vrijwillige basis en de Eerste Kamer volgde in februari; veel later dan de bedoeling was, omdat er veel vraagtekens waren bij de privacy en beveiliging van op afstand uitleesbare meters. In maart dit jaar kwam minister Maxime Verhagen van Economische Zaken, Landbouw en Innovatie (EL&I) met het ontwerp-Besluit op afstand uitleesbare meetinrichtingen, waarin is vastgelegd aan welke eisen slimme meters moeten voldoen om te garanderen dat energie-kleinverbruikers over toekomstvaste en veilige op afstand uitleesbare meetinrichtingen zullen beschikken. Wat betreft de beveiliging tegen fraude en misbruik, moet het onmogelijk zijn om meters zodanig te manipuleren dat het verbruik van gas of elektriciteit niet meer klopt.

Maar volledige veiligheid is een illusie, betoogt Gerhager. In de Verenigde Staten is vorig jaar begonnen met de massale uitrol van 60 mln slimme meters. Maar volgens Gerhager zitten ze daar nu met de handen in het haar, omdat hackers gaten in de beveiliging hebben aangetoond en die veiligheid dus niet meer gegarandeerd kan worden. “Mijn collega’s in de VS zeggen tegen me: ‘Doe het nog niet!'”

“Mijn koelkast hoef ik niet te beveiligen”, zegt Gerhagen. “Waarom niet? Geen hacker is geïnteresseerd in de inhoud.” Waarmee de veiligheidsman van Eon maar wil zeggen dat de hacker of zijn opdrachtgever wel enig zicht op een interessante buit wil hebben, voor hij zich bloot geeft aan risico’s om gepakt te worden, en voor hij de tijd en het geld investeert in de kraak. “Een terrorist gaat geen EUR 100.000 investeren om één enkele meter te kraken. Maar als hij voor dat geld een algemene code kan bemachtigen, waarmee alle slimme meters van een bepaald type te kraken, en daardoor op afstand te besturen zijn, dan wordt het ineens interessant.” Hij vervolgt: “Hoe meer wij afhankelijk worden van slimme netten, hoe interessanter het wordt om die te kraken.”

Zonder specifiek in te gaan op de techniek, zegt Gerhager dat hij gezien heeft hoe een soort virus of worm “van de ene op de andere slimme meter oversprong” en deze stuk voor stuk kraakte. Ook kan “één intelligent persoon” een gekraakte code publiceren op internet, waarna iedereen er mee aan de haal kan gaan. “Elke keer als de veiligheid van slimme meters en de infrastructuur daaromheen verhoogd wordt, zal er iemand zijn die het een uitdaging vindt om die beveiliging opnieuw te omzeilen.”

Echte oplossingen bood Gerhager niet. Wel zei hij dat er nu te veel nadruk wordt gelegd op technische oplossingen, zoals gecompliceerde versleutelingen, of encrypties. “We moeten nadenken over hoe het slimme net er straks in zijn geheel uit ziet, van daaruit moeten we nadenken over beveliging. We moeten ons niet nu meteen storten op de techniek en ons dan veilig wanen.” Ter illustratie toonde Gerhager een met stevige tralies beveiligde poort, om vervolgens uit te zoomen op de rest van de tuinomheining: een kniehoog heggetje.

Het kan overigens geen kwaad te melden dat Gerhager medewerker is van het Duitse bedrijf Eon. En in Duitsland verloopt de invoering van de slimme meter net als in Nederland niet zonder slag of stoot. Zoals ook het verbod van Google Street View in Duitsland laat zien, zijn Duitsers erg gesteld op hun privacy. Dat betekent dat er ook ten aanzien van privacy en databescherming rond de slimme meter en het slimme net zeer strenge eisen gaan gelden.

Verschenen in Energeia, 7 oktober 2011