Externe Marktteilnehmer in der Pflicht


Schon für den Empfang von Daten aus dem Smart Meter-Gateway benötigen Stadtwerke ein Sicherheitskonzept. Lösungsanbieter smartOPTIMO unterstützt bei der Umsetzung.


Sven Kuse ist im Stadtwerke- Netzwerk smartOPTIMO für IT-Sicherheit zuständig. Foto: smartOPTIMO GmbH & Co. KG
Die Zahlen der Bundesnetzagentur sind eindeutig: nahezu alle Netzbetreiber wollen die Aufgabe des grundzuständigen Messstellenbetreibers übernehmen und sich damit auch nach dem Smart Meter-Rollout den direkten Zugang zum Kunden erhalten. Damit verbunden ist die Rolle des Gateway-Administrators mit den in § 25 MsbG definierten Sicherheits- respektive Zertifizierungsanforderungen. Die Weichen für die in diesem Zusammenhang erforderlichen Prozesse haben viele Stadtwerke bereits gestellt. Doch das ist nur ein Aspekt bei der Vorbereitung des Rollouts. Grundlage für die eigentlichen Geschäftsprozesse rund um die intelligenten Messsysteme ist nämlich die direkte Kommunikation mit dem Gateway. Damit begibt sich das Stadtwerk in die (neue) Rolle des sogenannten externen Markteilnehmers (EMT), der als passiver EMT Messdaten aus den intelligenten Messsystemen auslesen oder als aktiver EMT Schalthandlungen an Kundenanlagen über angebundene Steuerboxen (CLS) durchführen darf. Und auch hier gelten klare Vorgaben an die Sicherheit.

Alle EMT in der Pflicht

"Jeder EMT muss die vorgegebenen kryptographischen Verfahren einhalten und dazu an der Smart Meter PKI teilnehmen, sprich: von einer Zertifizierungsstelle, der sogenannten Sub-CA, Zertifikate anfordern", erklärt Sven Kuse, der bei smartOPTIMO für IT-Sicherheit zuständig ist. Von aktiven EMT wird dazu eine Zertifizierung nach ISO 27001 eingefordert. Passive EMT müssen ein IT-Sicherheitskonzept vorlegen, das einen Überblick über alle sicherheitsrelevanten Betriebseinrichtungen und Systeme, Prozesse, Maßnahmen und Zuständigkeiten gibt. "Das gilt übrigens auch, wenn alle Systeme und Geschäftsprozesse an externe Dienstleister ausgelagert sind", konkretisiert Sicherheitsexperte Kuse die Anforderungen und verweist auf die Hinweise und Erläuterungen auf der Website des BSI. Unter dem Punkt "Wie muss die Kommunikation zwischen einem datenumgangsberechtigten Marktteilnehmer (EMT) und dem von ihm beauftragten Dienstleister abgesichert werden? nennt das Bundesamt explizit ein Sicherheitskonzept, in dem (zumindest) die sichere Kommunikation zwischen EMT und Dienstleister definiert werden muss. Prinzipiell sind aktuell also alle Messstellen- und Übertragungsnetzbetreiber sowie viele Verteilnetzbetreiber in der Pflicht, im Zusammenhang mit der "sternförmigen Marktkommunikation" werden darüber hinaus insbesondere auch Lieferanten und Verteilnetzbetreiber betroffen sein.

Sicherheitskonzept als Dienstleistung

Vor diesem Hintergrund hat smartOPTIMO eine Dienstleistung aufgesetzt, die es Stadtwerken ermöglicht, das geforderte Sicherheitskonzept zeitnah zu entwickeln. "Viele Unternehmen stellen fest, dass der Aufwand nicht unerheblich und mit Bordmitteln kaum bis zum Smart Meter-Rollout zu bewältigen ist", weiß Kuse aus Erfahrung. Hier setzt das Unternehmen an, das seit seiner Gründung 2009 eines der führenden Stadtwerke-Netzwerke Deutschlands für das intelligente Messwesen geworden ist und rund drei Millionen Stromzählpunkte bündelt.

In der Umsetzung des Sicherheitskonzepts wird für den Kunden zunächst eine vollständig vorformulierte Sicherheitsleitlinie entsprechend den Anforderungen der BSI Certificate Policy entwickelt, die smart- Optimo dann mit dem einzelnen Stadtwerk konkretisiert. "Das spart erheblichen Aufwand, da wir das Rad nicht jedes Mal neu erfinden müssen", erläutert Sven Kuse.

Strukturell entspricht das Sicherheitskonzept in vollem Umfang den Vorgaben der ISO 27001. "So kann es später, wenn das Stadtwerk als aktiver EMT die entsprechende Zertifizierung anstrebt, ohne Strukturänderung übernommen werden", sagt Kuse. Auch die Einbindung in ein bestehendes ISMS ist vor diesem Hintergrund problemlos möglich - wichtig etwa bei Netzbetreibern, die eine Zertifizierung gemäß IT-Sicherheitskatalog der BNetzA durchführen.

Für die direkte Kommunikation mit dem Smart Meter-Gateway ist die Teilnahme an einer PKI und damit mindestens ein Sicherheitskonzept erforderlich. Foto: Den Rise/shutterstock

Komponenten des Sicherheitskonzepts

Wesentliche Bestandteile des Sicherheitskonzepts sind der Netzstrukturplan und das Inventar der Werte. Diese bilden alle für die PKI relevanten Systeme, Netzelemente und Schnittstellen ab. Da smartOPTIMO im Rahmen des Stadtwerkenetzwerks vielfach die System- und Prozessdienstleistung für die Gateway-Administration und den Betrieb intelligenter Messsysteme übernimmt, können wesentliche Informationen einfach als bekannte Größen in das Sicherheitskonzept übernommen werden. "Das Spektrum, das wir in der Praxis vorfinden - von der komplett eigenständigen Systemausprägung und -bedienung bis zu vollständiger Auslagerung aller Systeme und Prozesse - lässt sich dabei problemlos regelkonform abbilden", so Sven Kuse. Gleiches gilt für die Empfehlungen zu einer möglichen Organisation der Informationssicherheit, die ebenfalls Teil des Sicherheitskonzepts von smartOPTIMO sind.

Risiken, die für die PKI relevant sind, werden vorbewertet und in einer Liste mit Schutzmaßnahmen sowie Handlungsempfehlungen dargestellt. Die konkrete Maßnahmenliste enthält Mindestmaßnahmen aus der TR03109-4 beziehungsweise der Certificate Policy und führt weitere relevante beziehungsweise empfohlene Maßnahmen aus. Sven Kuse ergänzt: "Dabei wird für alle Maßnahmen bereits eine Beschreibung der Umsetzung oder - sofern sie bereits umgesetzt sind - ein Nachweis geliefert." Weitere Komponenten sind ein Notfallkonzept, in dem relevante Notfallszenarien und entsprechende Vorkehrungen beschrieben werden sowie ein Rollen- und Rechtekonzept, in dem die für die Systembedienung relevanten Rollen (Zutritte, Systemzugänge, besondere Berechtigungen) aufgeführt werden. Auch hier können Stadtwerke vielfach vom Vorwissen und der Vorarbeit von smartOPTIMO profitieren - das Stadtwerke- Netzwerk ist selbst seit dem 19. April 2017 gemäß ISO/IEC 27001 zertifiziert.

Alle Dokumente werden in einem ganztätigen Workshop an die jeweiligen Gegebenheiten beim Stadtwerk angepasst. Das Sicherheitskonzept ist damit vollständig und kann für die Beantragung von Zertifikaten aus der Smart Meter-PKI verwendet werden. "Eine laufende Anpassung und eine Überführung in eine gegebenenfalls durchzuführende Zertifizierung als aktiver EMT lässt sich ebenfalls mit wenig Zusatzaufwand realisieren", ergänzt Sven Kuse. Auch die ersten Praxistests hat die neue Dienstleistung bereits gemeistert: Das Sicherheitskonzept wurde bereits erfolgreich bei verschiedenen Stadtwerken umgesetzt.

IMPRESSUM
Für den Inhalt verantwortlich:
smartOPTIMO GmbH & Co. KG
49074 Osnabrück
www.smartoptimo.de